Shifter – Privacy Policy / Gizlilik Politikası

1. Data Controller

Kiplix ("we", "our", "us") is the data controller for personal data processed through the Shifter mobile application. This Privacy Policy explains what data we collect, why we collect it, how we use it, and your rights regarding your personal data.

Contact: support@kiplix.com

This policy applies to all users of Shifter on iOS and Android. Users in Turkey are also protected under the Law on Protection of Personal Data No. 6698 (KVKK). See Section 8 for KVKK-specific rights.

2. Data We Collect

2.1 Account Data

Full name
Email address (used for login via Firebase Authentication, including Google Sign-In)
Profile photo (optional; stored in Firebase Storage)

2.2 Business & Operational Data

Restaurant and branch names and information you enter
Your role (admin or employee) within a branch
Department membership
Shift schedules assigned to or created by you
Leave requests you submit or manage
Shift swap requests you submit or manage
Availability you declare

2.3 Device & Notification Data

Firebase Cloud Messaging (FCM) device token — used exclusively to send you push notifications
Device platform (iOS/Android) and app version — standard metadata for compatibility

2.4 Subscription Data

Subscription plan and status (active, expired, trial)
Anonymous purchase transaction IDs from Apple App Store or Google Play
This data is processed by RevenueCat, Inc. on our behalf. We never store payment card details.

2.5 Data We Do Not Collect

Payment card numbers or banking information
Precise GPS location
Contacts, microphone, or camera data (camera is used only to let you choose a profile photo; no image is captured without your action)

3. How We Use Your Data

Purpose	Legal Basis (GDPR)
Providing the Shifter service (shift scheduling, team management, requests)	Art. 6(1)(b) — performance of a contract
Sending push notifications about schedule updates and request decisions	Art. 6(1)(b) — contract; Art. 6(1)(a) — consent (notification permission)
Managing your subscription plan and enforcing team-size limits	Art. 6(1)(b) — performance of a contract
Improving and securing the application	Art. 6(1)(f) — legitimate interest
Complying with legal obligations	Art. 6(1)(c) — legal obligation

4. Third-Party Services

We use the following third-party services to operate Shifter:

Service	Provider	Purpose
Firebase Authentication	Google LLC	User login and identity management
Cloud Firestore	Google LLC	Storage of operational data (shifts, requests, team data)
Firebase Storage	Google LLC	Profile photo storage
Firebase Cloud Functions	Google LLC	Server-side business logic (invite redemption, notifications)
Firebase Cloud Messaging	Google LLC	Push notification delivery
RevenueCat	RevenueCat, Inc.	Subscription and in-app purchase management
Apple App Store	Apple Inc.	iOS app distribution and in-app purchases
Google Play	Google LLC	Android app distribution and in-app purchases

All Firebase services process data on Google Cloud infrastructure under Google's data processing terms. RevenueCat processes purchase data under its own privacy policy. We recommend reviewing the privacy policies of each third-party service.

5. Data Sharing

We do not sell, rent, or trade your personal data. We share data only in the following circumstances:

Within your team: Your name, profile photo, role, and shift data are visible to admins and other members of the same branch. This is necessary to provide the scheduling service.
Service providers: We share data with the third parties listed in Section 4 strictly to the extent needed to operate the service.
Legal requirements: We may disclose data if required by law or to protect our legal rights.

6. Data Retention & Deletion

We retain your personal data for as long as your account is active. You can delete your account at any time from Settings → Account → Delete Account.

Upon account deletion:

Your personal data (name, email, profile photo) is permanently and irreversibly deleted.
FCM device tokens associated with your account are removed.
Operational records (e.g., historical shift records) where your identity has been removed may be retained for up to 30 days before permanent deletion from all backups.

If you are the owner of a restaurant, account deletion is blocked until ownership is transferred or the restaurant is deleted, in order to prevent disruption to your team.

7. Your Rights (GDPR — EU/EEA users)

If you are located in the EU or EEA, you have the following rights under the GDPR:

Right of access — request a copy of your personal data
Right to rectification — correct inaccurate data
Right to erasure — request deletion of your data ("right to be forgotten")
Right to restriction — request that we limit processing of your data
Right to data portability — receive your data in a structured, machine-readable format
Right to object — object to processing based on legitimate interest
Right to lodge a complaint — contact your national data protection authority (e.g., Türkiye Kişisel Verileri Koruma Kurumu, or the supervisory authority in your country)

To exercise any of these rights, contact us at support@kiplix.com. We will respond within 30 days.

8. Your Rights (KVKK — Turkish users)

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında Türkiye'deki kullanıcılarımız aşağıdaki haklara sahiptir:

Kişisel verilerinizin işlenip işlenmediğini öğrenme
Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme
Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme
Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
KVKK'nın 7. maddesi çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme
Düzeltme ve silme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme

Bu haklarınızı kullanmak için support@kiplix.com adresine yazılı başvuru yapabilirsiniz.

9. Data Security

All data in transit is encrypted via TLS/HTTPS.
Data at rest is encrypted by Firebase (Google Cloud AES-256).
Access to data is controlled by Firebase Security Rules — users can only access data they are authorized for.
Authentication is required for all data operations.
We regularly review access controls and security configurations.

10. Children's Privacy

Shifter is a business operations tool intended for adults working in the restaurant industry. We do not knowingly collect personal data from children under the age of 16. If we become aware that a child has provided us with personal data, we will delete it immediately.

11. Changes to This Policy

We may update this Privacy Policy from time to time. When we make significant changes, we will notify you through the app or by email at least 7 days before the changes take effect. Continued use of Shifter after the effective date constitutes acceptance of the updated policy.

12. Contact

For any privacy-related questions, requests to exercise your rights, or to report a concern:

Kiplix
Email: support@kiplix.com

1. Veri Sorumlusu

Kiplix ("biz", "bizim") Shifter mobil uygulaması aracılığıyla işlenen kişisel verilerin sorumlusudur. Bu Gizlilik Politikası; hangi verileri topladığımızı, neden topladığımızı, nasıl kullandığımızı ve verilerinize ilişkin haklarınızı açıklamaktadır.

İletişim: support@kiplix.com

Bu politika, iOS ve Android'de Shifter'ı kullanan tüm kullanıcılar için geçerlidir. Türkiye'deki kullanıcılar, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında da korunmaktadır. KVKK'ya özgü haklarınız için Bölüm 8'e bakınız.

2. Topladığımız Veriler

2.1 Hesap Verileri

Ad ve soyad
E-posta adresi (Firebase Authentication aracılığıyla giriş için, Google ile giriş dahil)
Profil fotoğrafı (isteğe bağlı; Firebase Storage'da saklanır)

2.2 İş ve Operasyonel Veriler

Girdiğiniz restoran ve şube adları ve bilgileri
Bir şube içindeki rolünüz (yönetici veya çalışan)
Departman üyeliği
Size atanan veya sizin tarafınızdan oluşturulan vardiya programları
Gönderdiğiniz veya yönettiğiniz izin talepleri
Gönderdiğiniz veya yönettiğiniz vardiya değişim talepleri
Beyan ettiğiniz müsaitlik bilgileri

2.3 Cihaz ve Bildirim Verileri

Firebase Cloud Messaging (FCM) cihaz belirteci — yalnızca size anlık bildirim göndermek için kullanılır
Cihaz platformu (iOS/Android) ve uygulama sürümü — uyumluluk için standart meta veriler

2.4 Abonelik Verileri

Abonelik planı ve durumu (aktif, süresi dolmuş, deneme)
Apple App Store veya Google Play'den anonim satın alma işlem kimlikleri
Bu veriler, bizim adımıza RevenueCat, Inc. tarafından işlenir. Ödeme kartı bilgilerini hiçbir zaman saklamayız.

2.5 Toplamadığımız Veriler

Ödeme kartı numaraları veya bankacılık bilgileri
Hassas GPS konum bilgisi
Kişi rehberi, mikrofon veya kamera verileri (kamera, yalnızca profil fotoğrafı seçmek için kullanılır)

3. Verilerinizi Nasıl Kullanıyoruz

Amaç	Hukuki Dayanak (KVKK)
Shifter hizmetinin sunulması (vardiya planlama, ekip yönetimi, talepler)	Sözleşmenin ifası — KVKK md. 5/2(c)
Program güncellemeleri ve talep kararları hakkında anlık bildirim gönderme	Sözleşmenin ifası; açık rıza — KVKK md. 5/1
Abonelik planının yönetimi ve ekip büyüklüğü sınırlarının uygulanması	Sözleşmenin ifası — KVKK md. 5/2(c)
Uygulamanın iyileştirilmesi ve güvenliğinin sağlanması	Meşru menfaat — KVKK md. 5/2(f)
Yasal yükümlülüklerin yerine getirilmesi	Yasal yükümlülük — KVKK md. 5/2(ç)

4. Üçüncü Taraf Hizmetler

Shifter'ı işletmek için aşağıdaki üçüncü taraf hizmetlerden faydalanmaktayız:

Hizmet	Sağlayıcı	Amaç
Firebase Authentication	Google LLC	Kullanıcı girişi ve kimlik yönetimi
Cloud Firestore	Google LLC	Operasyonel verilerin saklanması (vardiyalar, talepler, ekip verileri)
Firebase Storage	Google LLC	Profil fotoğrafı depolama
Firebase Cloud Functions	Google LLC	Sunucu tarafı iş mantığı (davet kullanımı, bildirimler)
Firebase Cloud Messaging	Google LLC	Anlık bildirim iletimi
RevenueCat	RevenueCat, Inc.	Abonelik ve uygulama içi satın alma yönetimi
Apple App Store	Apple Inc.	iOS dağıtımı ve uygulama içi satın alma
Google Play	Google LLC	Android dağıtımı ve uygulama içi satın alma

Tüm Firebase hizmetleri, Google'ın veri işleme koşulları kapsamında Google Cloud altyapısında verileri işler. RevenueCat, satın alma verilerini kendi gizlilik politikası kapsamında işler. Her üçüncü taraf hizmetin gizlilik politikalarını incelemenizi öneririz.

5. Veri Paylaşımı

Kişisel verilerinizi satmıyor, kiralamıyor veya takas etmiyoruz. Verileri yalnızca aşağıdaki durumlarda paylaşıyoruz:

Ekibiniz içinde: Adınız, profil fotoğrafınız, rolünüz ve vardiya verileriniz, aynı şubedeki yöneticiler ve diğer üyeler tarafından görülebilir. Bu, planlama hizmetini sunmak için zorunludur.
Hizmet sağlayıcılar: Verileri, yalnızca hizmeti işletmek için gereken ölçüde Bölüm 4'teki üçüncü taraflarla paylaşıyoruz.
Yasal gereklilikler: Yasal bir yükümlülük kapsamında veya hukuki haklarımızı korumak amacıyla verileri ifşa edebiliriz.

6. Veri Saklama ve Silme

Kişisel verilerinizi hesabınız aktif olduğu sürece saklıyoruz. Hesabınızı istediğiniz zaman Ayarlar → Hesap → Hesabı Sil yolunu izleyerek silebilirsiniz.

Hesap silindiğinde:

Kişisel verileriniz (ad, e-posta, profil fotoğrafı) kalıcı olarak ve geri alınamaz şekilde silinir.
Hesabınızla ilişkili FCM cihaz belirteçleri kaldırılır.
Kimliğinizin kaldırıldığı operasyonel kayıtlar (örneğin geçmiş vardiya kayıtları), tüm yedeklerden kalıcı olarak silinmeden önce en fazla 30 gün saklanabilir.

Bir restoranın sahibi olmanız durumunda, ekibinizin hizmetinin kesintiye uğramaması için sahiplik devredilene veya restoran silinene kadar hesap silme işlemi engellenir.

7. Haklarınız (GDPR — AB/AEA Kullanıcıları)

AB veya AEA'da bulunuyorsanız GDPR kapsamında aşağıdaki haklara sahipsiniz:

Erişim hakkı — kişisel verilerinizin bir kopyasını talep etme
Düzeltme hakkı — yanlış verileri düzeltme
Silme hakkı — verilerinizin silinmesini talep etme ("unutulma hakkı")
İşlemeyi kısıtlama hakkı — verilerinizin işlenmesini sınırlamayı talep etme
Veri taşınabilirliği hakkı — verilerinizi yapılandırılmış, makine tarafından okunabilir biçimde alma
İtiraz hakkı — meşru menfaate dayanan işlemeye itiraz etme

8. Haklarınız (KVKK — Türkiye Kullanıcıları)

6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında aşağıdaki haklara sahipsiniz:

Kişisel verilerinizin işlenip işlenmediğini öğrenme
Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme
Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme
Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
KVKK'nın 7. maddesi çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme
Düzeltme ve silme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme

Bu haklarınızı kullanmak için support@kiplix.com adresine yazılı başvuru yapabilirsiniz. 30 gün içinde yanıt vereceğiz.

9. Veri Güvenliği

Aktarımdaki tüm veriler TLS/HTTPS ile şifrelenir.
Beklemedeki veriler Firebase tarafından şifrelenir (Google Cloud AES-256).
Verilere erişim, Firebase Güvenlik Kuralları ile kontrol edilir — kullanıcılar yalnızca yetkili oldukları verilere erişebilir.
Tüm veri işlemleri için kimlik doğrulama zorunludur.

10. Çocukların Gizliliği

Shifter, restoran sektöründe çalışan yetişkinlere yönelik bir iş operasyonu aracıdır. 16 yaşın altındaki çocuklardan bilerek kişisel veri toplamıyoruz. Bir çocuğun bize kişisel veri sağladığından haberdar olursak söz konusu verileri derhal sileriz.

11. Politika Değişiklikleri

Bu Gizlilik Politikasını zaman zaman güncelleyebiliriz. Önemli değişiklikler yaptığımızda, değişiklikler yürürlüğe girmeden en az 7 gün önce sizi uygulama üzerinden veya e-posta yoluyla bilgilendireceğiz. Yürürlük tarihinden sonra Shifter'ı kullanmaya devam etmeniz, güncellenmiş politikayı kabul ettiğiniz anlamına gelir.

12. İletişim

Gizlilikle ilgili sorularınız, haklarınızı kullanmaya yönelik talepleriniz veya bir endişeyi bildirmek için:

Kiplix
E-posta: support@kiplix.com