Gizlilik Politikası
Son güncelleme: 10 Mayıs 2026 · Sürüm 2.1
Kısa özet: PALIMPS okuma verilerini sen ve kitapların için tutar. Satmayız, reklam için kullanmayız, üçüncü taraflarla paylaşmayız. Verini istediğin zaman silebilirsin.
0. Veri Sorumlusu
Bu politika kapsamında kişisel verilerinizin işlenmesinden sorumlu olan veri sorumlusu:
- Veri Sorumlusu: PALIMPS (iOS uygulaması)
- Sıfat: Bağımsız bir gerçek kişi geliştirici tarafından işletilen mobil uygulama
- Konum: İstanbul, Türkiye
- İletişim: iletisim@palimps.app
- VERBİS kayıt durumu: Kayıt yükümlülüğü eşiği altında faaliyet göstermektedir; yükümlülük doğduğunda kayıt yapılacak ve bu sayfada sicil numarası yayımlanacaktır.
- Tam kimlik ve tebligat adresi: KVKK Md. 13 ve GDPR Md. 15 kapsamındaki yazılı başvurular için, veri sorumlusunun tam ad ve posta adresi bilgileri yukarıdaki e-posta üzerinden iletilir.
1. Topladığımız veriler
PALIMPS yalnızca uygulamayı çalıştırmak için gereken verileri toplar:
- E-posta adresi: Apple Sign In ile giriş yaptığında Apple tarafından paylaşılır. Özel bir e-posta adresi ("E-postamı Gizle") kullanmayı da seçebilirsin.
- Ad: Apple Sign In sırasında paylaşmayı tercih edersen.
- Kullanıcı kimliği (User ID): Apple tarafından üretilen, hesabına bağlı anonim bir tanımlayıcı.
- Fotoğraflar: Kitap sayfası veya kapak fotoğrafı çektiğin ya da galerinden seçtiklerin. Şifrelenmiş olarak Cloudflare R2'de senin hesabınla bağlı tutulur ve hesabın silinene kadar saklanır.
- Kullanıcı içeriği: Not, alıntı, kitap başlığı, yazar adı gibi kendi girdiğin metinler; ayrıca fotoğrafladığın sayfalardan yapay zeka ile yazı tanıma (OCR) yoluyla çıkarılan basılı metin, altı çizili/fosforlu bölümler ve el yazısı kenar notlarının transkripsiyonu.
- Abonelik durumu: PALIMPS Pro abonen olursan, aboneliğinin doğrulanması için gerekli minimum bilgi. Kart numarası, faturalama adresi bize gelmez, Apple tarafında kalır.
- Teknik veriler: Kilitlenme ve hata raporları için cihaz modeli, işletim sistemi sürümü, uygulama sürümü, IP adresi, anonimleştirilmiş kullanıcı kimliği ve stack trace. Reklam takibi yapılmaz.
- Çerezler ve yerel depolama: Oturum çerezi (giriş için), iOS Keychain (token + kullanıcı profili özeti) ve uygulama içi AsyncStorage (dil tercihi, onboarding durumu, bildirim ayarları).
2. Nasıl kullanıyoruz
Topladığımız verileri yalnızca:
- Hesabını açmak ve güvende tutmak için,
- Kitaplarını ve notlarını cihazlar arasında senkronize etmek için,
- Uygulamadaki temel özellikleri çalıştırmak için (sayfa fotoğrafı analizi: OCR, altı çizili tespiti, el yazısı kenar notlarının transkripsiyonu, arama, yedekleme),
- Teknik hataları ve çökmeleri anlamak için (anonimleştirilmiş kilitlenme raporları),
- PALIMPS Pro aboneliğini yönetmek ve Pro özelliklerine erişim sağlamak için
kullanıyoruz. Hiçbir veriyi reklam veya pazarlama için kullanmıyoruz; veri satmıyoruz.
Hukuki sebep (KVKK Md. 5 / GDPR Md. 6): Hesap oluşturma, abonelik yönetimi ve temel özelliklerin çalıştırılması sözleşmenin ifası; güvenlik ve hata teşhisi meşru menfaat; yurt dışına veri aktarımı ve fotoğrafların AI analizi açık rıza (Apple ile giriş yaptığında bu politikayı kabul etmiş olursun).
3. Takip (Tracking)
PALIMPS hiçbir reklam ağı, analitik servisi veya veri simsarı ile veri paylaşmaz. Uygulamada reklam yoktur. Apple'ın App Tracking Transparency çerçevesinde "tracking" tanımına giren hiçbir şey yapmıyoruz.
4. Verilerin nerede saklanır
- Metin verileri (notlar, alıntılar, kitap bilgileri, OCR çıktıları, altı çizili ve kenar notu transkripsiyonları): Railway altyapısı üzerinde Avrupa Birliği sınırları içinde, "at rest" şifrelenmiş olarak tutulur. Taşıma TLS 1.2+ ile yapılır.
- Fotoğraflar: Cloudflare R2 üzerinde şifrelenmiş olarak saklanır; yalnızca senin hesabın erişebilir.
- Yerel önbellek: Telefonundaki iOS Keychain (oturum token'ı) ve AsyncStorage (tercihler) hız için yerel bir kopya tutabilir.
- Kilitlenme ve hata verisi: Sentry üzerinde Avrupa Birliği sunucularında tutulur.
- İşleme için geçici yurt dışı transfer: Sayfa fotoğrafları ve içerdikleri metinler, fotoğraf analizi (OCR, altı çizili ve kenar notu tespiti) ve Pro AI özellikleri için Google'ın Gemini API'sine (ABD) gönderilir. Verileriniz Google tarafından model eğitimi için kullanılmaz.
- Abonelik metadata'sı: RevenueCat (ABD) üzerinden aboneliğin doğrulanması için gerekli minimum bilgi aktarılır.
5. Üçüncü taraf servisler (Veri İşleyenler)
PALIMPS'in çalışması için aşağıdaki altyapı servislerini kullanıyoruz. Her biri ile KVKK Md. 9 ve GDPR Md. 28 kapsamında veri işleme sözleşmesi (DPA) imzalanmıştır.
- Apple (Apple Inc., ABD):
- Sign in with Apple: Kimlik doğrulama.
- App Store In-App Purchase: PALIMPS Pro aboneliğinin ödemesini işler. Kart numaranız, faturalama adresiniz Apple'da kalır.
Apple gizlilik politikası.
- Railway (Railway Corp.; sunucular AB sınırları içinde): Uygulama sunucusu ve veritabanı altyapısı. Kullanıcı metin verileriniz burada şifrelenmiş olarak saklanır. Railway gizlilik politikası.
- Cloudflare R2 (Cloudflare, Inc.): Fotoğraf depolama. Cloudflare gizlilik politikası.
- Sentry (Functional Software, Inc.; veri AB sunucularında): Kilitlenme ve hata raporları. Ürün iyileştirme amacıyla veri paylaşımı kapalıdır. Sentry gizlilik politikası.
- RevenueCat (RevenueCat, Inc.): Abonelik yönetimi ve doğrulama. Finansal veriler aktarılmaz. RevenueCat gizlilik politikası.
- Google Gemini (Google LLC, ABD): Sayfa fotoğraflarının analizi (OCR, altı çizili ve el yazısı kenar notu tespiti), otomatik özet/etiket üretimi ve Pro sohbet özelliği. Fotoğraf ve not içeriği işlenmek üzere Gemini API'sine gönderilir. Verileriniz model eğitimi için kullanılmaz. Google gizlilik politikası.
6. Saklama süreleri
| Veri | Süre | Hukuki sebep |
|---|
| Hesap (kullanıcı satırı) | Hesap silinene kadar | Sözleşmenin ifası |
| Kitaplar, anlar, metin içerikleri | Hesap silinene kadar; tekil silme mümkün | Açık rıza + sözleşme |
| Fotoğraflar (R2) | Hesap silindiğinde anında silinir | Sözleşmenin ifası |
| Abonelik geçmişi | Hesap silindikten sonra 12 ay pseudonymized | Hukuki yükümlülük (muhasebe/fatura) |
| Sentry hata logları | 90 gün | Meşru menfaat (hata tespiti) |
| Gemini API istekleri | Google'ın belirlediği kısa süre | Meşru menfaat |
| Oturum token (Keychain) | Çıkışa kadar | Sözleşmenin ifası |
7. Çocukların gizliliği
PALIMPS 13 yaş altındaki kullanıcılara yönelik değildir ve bu yaş grubundan bilerek veri toplamaz. Çocuğunun veri paylaştığını düşünüyorsan bize ulaş, derhal sileriz.
8. Haklarınız
KVKK Md. 11 ve GDPR Md. 15-22 kapsamında her kullanıcı şu haklara sahiptir:
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Verilerinin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında verilerinin aktarıldığı üçüncü kişileri bilme (bkz. §5),
- Eksik veya yanlış işlenmişse verilerinin düzeltilmesini isteme,
- Kişisel verilerinin silinmesini veya yok edilmesini talep etme: uygulama içinden doğrudan yapabilirsin (Ayarlar → Hesabı Sil),
- Verilerinin bir kopyasını talep etme (e-posta ile),
- Otomatik sistemler aracılığıyla analiz edilmesi sonucu aleyhe bir sonuç ortaya çıkmasına itiraz etme,
- Kanuna aykırı işleme nedeniyle zarara uğradıysa zararın giderilmesini talep etme.
Silme talebinin yasal üst süresi 30 gündür; iç hedefimiz 7 gündür. Başvuru için: iletisim@palimps.app. KVKK Md. 13 kapsamında yazılı başvuru için Aydınlatma Metni içindeki "Başvuru Usulü" bölümüne bakınız.
9. Veri İhlali Bildirimi
KVKK Md. 12 ve GDPR Md. 33 kapsamında bir kişisel veri ihlali durumunda, en geç 72 saat içinde ilgili yetkili kurumlara ve ciddi risk halinde etkilenen kullanıcılara bildirim yapmayı taahhüt ediyoruz.
10. Değişiklikler
Bu politikayı güncellediğimizde buradaki "Son güncelleme" tarihi değişir. Önemli değişikliklerde uygulama içinden bilgi veririz.
11. İletişim
Sorunun varsa: iletisim@palimps.app
Privacy Policy
Last updated: May 10, 2026 · Version 2.1
In short: PALIMPS keeps your reading data for you and your books. We don't sell it, we don't use it for ads, we don't share it with third parties. You can delete your data at any time.
0. Data Controller
The data controller responsible for the processing of your personal data under this policy is:
- Controller: PALIMPS (iOS application)
- Capacity: A mobile app operated by an independent individual developer
- Location: Istanbul, Türkiye
- Contact: hello@palimps.app
- Full identity and postal address: provided via email upon formal written request under KVKK Art. 13 / GDPR Art. 15.
1. Data we collect
PALIMPS only collects data required to run the app:
- Email address: shared by Apple when you sign in (you may choose a Hide My Email private relay address).
- Name: if you choose to share it during Apple Sign In.
- User ID: an anonymous identifier generated by Apple, tied to your account.
- Photos: book page or cover photos you take or pick from your library. Stored encrypted on Cloudflare R2, tied to your account, kept until you delete your account.
- User content: notes, quotes, book titles, author names and similar text you enter; plus printed text automatically extracted by AI text recognition (OCR), highlighted/underlined passages, and transcriptions of handwritten marginal notes from photos you capture.
- Subscription status: if you become a PALIMPS Pro subscriber, the minimum information required to validate your subscription. Card numbers and billing addresses remain with Apple.
- Technical data: for crash and error reports: device model, OS version, app version, IP address, anonymized user identifier, and stack traces. No ad tracking.
- Cookies and local storage: a session cookie (for auth), iOS Keychain (token + user profile summary), and in-app AsyncStorage (language preference, onboarding state, notification settings).
2. How we use it
We use the data only to:
- Open and secure your account,
- Sync your books and notes across devices,
- Power core features (page photo analysis: OCR, highlight detection, transcription of handwritten margin notes, search, backup),
- Understand technical issues and crashes (anonymized crash reports),
- Manage your PALIMPS Pro subscription and grant access to Pro features.
We never use your data for advertising or marketing; we do not sell data.
Legal basis (GDPR Art. 6 / KVKK Art. 5): Account creation, subscription management, and core feature operation rely on contract performance; security and error diagnostics on legitimate interest; cross-border data transfer and AI-based photo analysis on your explicit consent (you accept this policy by signing in with Apple).
3. Tracking
PALIMPS does not share data with any ad network, analytics service or data broker. There are no ads in the app. We do nothing that falls under "tracking" in Apple's App Tracking Transparency framework.
4. Where data is stored
- Text data (notes, quotes, book metadata, OCR outputs, highlight and margin-note transcriptions): stored encrypted at rest on Railway infrastructure within the European Union. In transit via TLS 1.2+.
- Photos: stored encrypted on Cloudflare R2; only your account can access them.
- Local cache: your device's iOS Keychain (session token) and AsyncStorage (preferences) may keep a local copy for speed.
- Crash & error data: stored on Sentry on European Union servers.
- Temporary cross-border transfer for processing: Page photos and the text they contain are sent to Google's Gemini API (USA) for photo analysis (OCR, highlight and margin-note detection) and Pro AI features. Your data is not used by Google for model training.
- Subscription metadata: the minimum information required to validate your subscription is transferred via RevenueCat (USA).
5. Third-party services (Data Processors)
PALIMPS uses the following infrastructure services. A Data Processing Agreement under KVKK Art. 9 and GDPR Art. 28 is in place with each.
- Apple (Apple Inc., USA):
- Sign in with Apple: authentication.
- App Store In-App Purchase: processes PALIMPS Pro subscription payments. Card numbers and billing addresses remain with Apple.
See Apple's privacy policy.
- Railway (Railway Corp.; servers within the EU): application server and database infrastructure. Your text data is stored encrypted here. See Railway's privacy policy.
- Cloudflare R2 (Cloudflare, Inc.): photo storage. See Cloudflare's privacy policy.
- Sentry (Functional Software, Inc.; data on EU servers): crash and error reports. Sharing for product improvement is disabled. See Sentry's privacy policy.
- RevenueCat (RevenueCat, Inc.): subscription management and validation. No financial data is transferred. See RevenueCat's privacy policy.
- Google Gemini (Google LLC, USA): used for page photo analysis (OCR, highlight and handwritten margin-note detection), automatic summary/tag generation, and Pro chat features. The content of your photos and notes is sent to the Gemini API for processing. Your data is not used for model training. See Google's privacy policy.
6. Retention periods
| Data | Duration | Legal basis |
|---|
| Account (user row) | Until account deletion | Contract performance |
| Books, moments, text content | Until account deletion; individual items may be deleted | Explicit consent + contract |
| Photos (R2) | Deleted immediately upon account deletion | Contract performance |
| Subscription history | 12 months pseudonymized after account deletion | Legal obligation (accounting) |
| Sentry error logs | 90 days | Legitimate interest (error detection) |
| Gemini API requests | Short retention period set by Google | Legitimate interest |
| Session token (Keychain) | Until sign-out | Contract performance |
7. Children's privacy
PALIMPS is not directed to and does not knowingly collect data from users under 13. If you believe your child has shared data with us, contact us and we will delete it promptly.
8. Your rights
Under KVKK Art. 11 and GDPR Art. 15-22, every user has the right to:
- Know whether their personal data is being processed,
- Request information about that processing,
- Learn the purpose of processing and whether data is used accordingly,
- Know the third parties to which data is transferred domestically or internationally (see §5),
- Request correction if data is incomplete or inaccurate,
- Request deletion or destruction of personal data: available directly in the app (Settings → Delete Account),
- Request a copy of their data via email,
- Object to decisions made solely by automated processing that affect them adversely,
- Seek damages for losses arising from unlawful processing.
Legal maximum for deletion is 30 days; our internal target is 7 days. For requests: hello@palimps.app.
9. Data breach notification
In the event of a personal data breach, we commit to notify the relevant authorities within 72 hours, and affected users where there is a high risk to their rights and freedoms, pursuant to KVKK Art. 12 and GDPR Art. 33.
10. Changes
When we update this policy, the "Last updated" date above will change. For significant changes we'll notify you within the app.
11. Contact
Questions? hello@palimps.app