gizlilik politikası

son güncelleme: 17.06.2026 · yürürlük tarihi: 17.06.2026.

Gizlilik Politikası

Bu Gizlilik Politikası, gnoapps'in ("gnoapps", "biz" veya "bize") web sitemiz ve StarDust mobil uygulaması ("StarDust" veya "Uygulama") kapsamında kişisel verileri nasıl topladığını, kullandığını, paylaştığını ve koruduğunu açıklar. StarDust; astronomiyi (gerçek gökyüzü haritaları), astrolojiyi (doğum haritaları, burç yorumları, transitler) ve eşleştirmeyi (kişilerin haritalarına dayalı olarak uyumlu kişilerle tanışma) tek bir uygulamada birleştirir. Bu politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve ikincil mevzuatı ile Avrupa Birliği Genel Veri Koruma Tüzüğü ("GDPR") ile uyumlu olacak şekilde hazırlanmıştır.

Lütfen bu politikayı dikkatlice okuyunuz. Web sitemizi veya Uygulamayı kullanarak burada açıklanan uygulamaları okuyup anladığınızı kabul etmiş olursunuz. Açık rızanıza dayandığımız durumlarda, bir özelliği kullanmanız söz konusu rızanın yerine geçmez; bu rızayı ayrıca ve açıkça talep ederiz.

1. Kim olduğumuz (Veri Sorumlusu)

Kişisel verilerinizden sorumlu veri sorumlusu:

gnoapps, İstanbul, Türkiye merkezli bir stüdyodur.
Kayıtlı adres: İstanbul, Türkiye (tam tescilli adres hello@gnoapps.com üzerinden talep üzerine sağlanır)
Tüm gizlilik konuları için iletişim e-postası: hello@gnoapps.com

KVKK kapsamında gnoapps "Veri Sorumlusu" sıfatıyla hareket eder. GDPR kapsamında gnoapps, kişisel verilerinizin işlenme amaçlarını ve yöntemlerini belirleyen "veri sorumlusudur" (controller).

VERBİS kaydı: Kişisel Verileri Koruma Kurumu tarafından belirlenen eşikleri (örneğin çalışan sayısı, yıllık mali bilanço veya işlenen verinin niteliği gibi) karşılayan veri sorumluları, Veri Sorumluları Sicil Bilgi Sistemine ("VERBİS") kaydolmak zorundadır. StarDust yayına alındığında ve özel nitelikli veriler dahil aşağıda açıklanan kişisel verileri işlemeye başladığında, gnoapps yükümlülüğün doğup doğmadığını değerlendirecek ve yükümlülüğün geçerli olduğu durumda söz konusu işleme başlamadan önce VERBİS kaydını tamamlayacak ve sicil kaydını güncel tutacaktır.

Veri koruma iletişimi / DPO: veri koruma konuları için irtibat noktasına yukarıdaki e-posta adresinden ulaşılabilir. GDPR'nin gerektirdiği durumlarda gnoapps, bir Veri Koruma Görevlisi (DPO) ve/veya GDPR'nin 27. maddesi kapsamında bir AB temsilcisi atayacak ve bilgilerini burada yayımlayacaktır.

Aydınlatma yükümlülüğü (KVKK md. 10): bu politika, verinin toplandığı noktada uygulama içinde veya formlarda sunulan bildirimlerle birlikte, KVKK'nın 10. maddesi uyarınca gerekli aydınlatma metni işlevini görür.

2. Bu politikanın kapsamı

Bu politika iki farklı durumu kapsar:

Bugünkü web sitesi: pazarlama web sitemiz şu anda yalnızca StarDust bekleme listesine katılmak için verdiğiniz e-posta adresini toplar. Site, varsayılan olarak takip veya reklam çerezleri kullanmaz.
Gelecekteki StarDust uygulaması: Uygulama yayına alındığında, astronomi, astroloji ve eşleştirme özelliklerini sunmak için gereken ek kişisel verileri toplayacaktır. Bu veri kategorileri, önceden anlamanız için aşağıda açıklanmıştır. Bunlar yalnızca bir hesap oluşturduğunuzda ve Uygulamayı kullandığınızda geçerlidir.

3. Topladığımız kişisel veri kategorileri

3.1 Web sitesi (şimdi)

İletişim verisi: bekleme listesine katılmak için verdiğiniz e-posta adresi.
Sınırlı teknik veri: barındırma sağlayıcımızın güvenlik ve sitenin çalışır durumda tutulması için ürettiği temel sunucu kayıtları (IP adresi ve istek zamanı gibi). Bunları takip veya profilleme için kullanmayız.

3.2 StarDust uygulaması (yayın sonrası)

Hesap ve profil verisi: ad veya görünen ad, e-posta, parola (yalnızca özetlenmiş / hash'lenmiş biçimde saklanır) ve eklemeyi tercih ettiğiniz profil bilgileri.
Doğum verisi: doğum tarihi, doğum saati ve doğum yeri / konumu. Bu bilgiler doğum haritanızı, burç yorumlarınızı, transitlerinizi ve uyum sonuçlarınızı oluşturmak için kullanılır.
Fotoğraflar: yüklemeyi tercih ettiğiniz profil veya diğer fotoğraflar (isteğe bağlı).
Eşleştirme ve etkileşim verisi: eşleştirme özelliklerini kullandığınızda oluşan tercihler, beğeniler, eşleşmeler, mesajlar ve diğer etkinlikler. Eşleştirme, otomatik işleme ve profilleme içerir — bkz. Bölüm 10.
Konum verisi: etkinleştirdiğiniz durumlarda, "bu gece üzerinizdeki gökyüzü" özellikleri ve isteğe bağlı olarak yakındaki eşleştirme için yaklaşık veya kesin konum.
Cihaz ve kullanım verisi: cihaz türü, cihaz tanımlayıcıları, işletim sistemi, uygulama sürümü, çökme kayıtları ve toplulaştırılmış kullanım analitiği.

Özel nitelikli veriler: sağladığınız verilerin bir kısmı, GDPR'nin 9. maddesi kapsamında hassas ya da "özel kategori" kişisel veri ve KVKK'nın 6. maddesi kapsamında "özel nitelikli kişisel veri" olabilir veya bunları ortaya koyabilir. Örneğin fotoğraflar ırk veya etnik köken, dini inanç ya da sağlık verisini ortaya koyabilir; doğum haritası, eşleştirme ve profil verileriniz bir arada ele alındığında — paylaşmayı seçtiklerinize bağlı olarak cinsel hayat veya cinsel yönelime ilişkin veriler dahil — bu tür özellikleri ortaya koyabilir veya bunların çıkarımında kullanılabilir. Bu durumda söz konusu verileri yalnızca açık rızanız ile (KVKK kapsamında "açık rıza"; GDPR md. 9(2)(a) kapsamında explicit consent) veya hukuken açıkça izin verilen başka bir hukuki sebebe dayanarak işler ve ek koruma önlemleri uygularız. Özel nitelikli özellikleri, yalnızca açıkça etkinleştirdiğiniz özellikleri sunmak dışında hiçbir amaçla çıkarımlamayız ve bunları reklam için kullanmayız.

4. İşleme amaçları ve hukuki sebepler

Kişisel verileri yalnızca geçerli bir hukuki sebebimiz olduğunda işleriz. Aşağıda verileri neden işlediğimiz ve hem KVKK hem de GDPR kapsamındaki hukuki sebepler açıklanmaktadır. KVKK kapsamında genel (özel nitelikli olmayan) veriler için 5. maddedeki sebeplere, özel nitelikli veriler için ise 6. maddedeki sebeplere dayanırız.

Bekleme listesini yönetmek ve yayın hakkında sizinle iletişim kurmak. Hukuki sebep: açık rızanız (GDPR md. 6(1)(a)); pazarlama/yayın iletişimi için KVKK açık rıza. Rızanızı istediğiniz zaman geri çekebilirsiniz.
Hesabınızı oluşturmak ve işletmek, temel Uygulama özelliklerini (haritalar, burç yorumları, gökyüzü haritaları, eşleştirme) sunmak. Hukuki sebep: bir sözleşmenin ifası (GDPR md. 6(1)(b)); KVKK md. 5/2(c) — bir sözleşmenin kurulması veya ifası için işlemenin gerekli olması.
Hassas olan veya olabilecek doğum verisi, fotoğraflar ve eşleştirme verilerini işlemek. Hukuki sebep: açık rızanız (GDPR md. 9(2)(a)); KVKK md. 6 açık rıza. Bu rızayı, ilgili özellikler etkinleştirilmeden önce ayrıca verirsiniz ve istediğiniz zaman geri çekebilirsiniz.
Otomatik eşleştirme ve uyum profillemesini yürütmek. Hukuki sebep: açık rızanız (GDPR md. 9(2)(a) ve profillemenin kendisi için md. 22(2)(c) açık rıza); KVKK açık rıza. Bkz. Bölüm 10.
Hizmetlerimizi güvende tutmak, dolandırıcılık ve kötüye kullanımı önlemek ve sistemlerimizi işletmek. Hukuki sebep: meşru menfaatlerimiz (GDPR md. 6(1)(f)); KVKK md. 5/2(f) — temel hak ve özgürlüklerinizle dengelenmiş olarak veri sorumlusunun meşru menfaati. Denge değerlendirmemizin (LIA) bir özetini talep edebilirsiniz.
Analitik aracılığıyla ürünü geliştirmek. Hukuki sebep: gerektiğinde açık rızanız (GDPR md. 6(1)(a) / KVKK açık rıza) veya toplulaştırılmış, müdahaleci olmayan ölçümlemeye yönelik meşru menfaatimiz (GDPR md. 6(1)(f); KVKK md. 5/2(f)).
Yasal yükümlülüklere uymak. Hukuki sebep: bir yasal yükümlülüğe uyum (GDPR md. 6(1)(c)); KVKK md. 5/2(ç) — veri sorumlusunun hukuki yükümlülüğü.
Bir hukuki talebin tesisi, kullanılması veya savunulması. Hukuki sebep: GDPR md. 6(1)(f) / md. 9(2)(f); KVKK md. 5/2(e) ve md. 6'daki ilgili sebep.

Açık rızaya dayandığımız durumlarda, söz konusu veriye bağlı olmayan hizmet bölümlerini kullanmak için rıza vermeniz hiçbir zaman zorunlu tutulmaz ve rızanızı geri çekmeniz, geri çekme öncesinde gerçekleştirilen işlemenin hukuka uygunluğunu etkilemez.

5. Üçüncü taraflar ve veri işleyenler

Kişisel verileri yalnızca bizim adımıza, gizlilik ve güvenlik yükümlülükleri getiren yazılı bir sözleşme kapsamında işleyen hizmet sağlayıcılarla (GDPR kapsamında "veri işleyen" / processor; KVKK kapsamında "veri işleyen") ve yalnızca gerekli olduğu ölçüde paylaşırız. Güncel alıcı kategorileri şunlardır:

E-posta ve bekleme listesi sağlayıcısı: bekleme listesi e-postalarını saklamak ve yayın iletişimlerini göndermek için.
Bulut barındırma ve depolama sağlayıcıları: web sitesini, Uygulama arka ucunu ve yüklenen içeriği barındırmak için.
Uygulama mağazaları (Apple App Store, Google Play): Uygulamayı dağıtmak ve uygulama içi satın alımları veya abonelikleri işlemek için; bu mağazalar, kendi politikaları kapsamında topladıkları veriler için bağımsız veri sorumlusu olarak hareket eder.
Analitik ve çökme raporlama sağlayıcıları: yalnızca etkinleştirildiğinde, ürün ölçümlemesi ve kararlılık için.
Profesyonel danışmanlar ve yetkili makamlar: hukuk, muhasebe ve güvenlik danışmanları ile yasanın gerektirdiği veya hukuki talepleri savunmak için yetkili kamu makamları.

Veri işleyenlerin ve alıcıların belirli, güncel listesini yukarıdaki iletişim adresinden talep üzerine sağlayabiliriz. Kişisel verilerinizi satmayız ve rızanız olmadan üçüncü taraflarla kendi bağımsız pazarlamaları için paylaşmayız.

6. Yurt dışına aktarım

Bazı sağlayıcılarımız verileri Türkiye veya Avrupa Ekonomik Alanı (AEA) dışında saklayabilir veya işleyebilir.

KVKK kapsamında (2024'te değişen 9. madde): kişisel verileri yurt dışına, tercih sırasıyla şu sebeplerden birine dayanarak aktarırız: (i) Kişisel Verileri Koruma Kurulunun yeterlilik kararı bulunan ülkelere, sektörlere veya kuruluşlara; veya yeterlilik kararı yoksa (ii) uygun güvencelere dayanarak — Kuruma gerekli süre içinde bildirdiğimiz standart sözleşme, bağlayıcı şirket kuralları ya da Kurulca onaylanan taahhütname/protokol gibi — ilgili kişinin aktarımın yapılacağı ülkede haklarını kullanabilmesi ve etkili başvuru yollarına erişebilmesi koşuluyla; veya (iii) istisnai olarak, 9. maddedeki arızi hallerden birine, aktarıma özgü alınan açık rızanız dahil, dayanarak. Yurt dışı aktarımlar için artık açık rızayı rutin hukuki sebep olarak kullanmıyoruz.

GDPR kapsamında (Bölüm V): yeterlilik kararlarına, gerekli tamamlayıcı önlemlerle birlikte Standart Sözleşme Hükümlerine (SCC) veya geçerli başka bir aktarım mekanizmasına dayanırız. Kullandığımız belirli güvencelerin bir kopyasını veya bunlara ilişkin bilgiyi bizimle iletişime geçerek talep edebilirsiniz.

7. Veri saklama

Kişisel verileri yalnızca bu politikada açıklanan amaçlar için gerekli olduğu sürece saklarız; bu sürenin ardından, KVKK'nın saklama sınırlaması ilkesi ile kişisel veri saklama ve imha politikamıza ve GDPR'nin saklama sınırlaması ilkesine uygun olarak siler, yok eder veya anonimleştiririz. Gösterge niteliğindeki süreler ve ölçütler:

Bekleme listesi e-postaları: yayın iletişimleri tamamlanana kadar veya silmemizi talep edene kadar, hangisi önce gerçekleşirse; Uygulama yayına alınmamışsa her hâlükârda toplanmasından en geç 24 ay sonra.
Hesap ve Uygulama verisi (doğum verisi, fotoğraflar, eşleştirme verisi dahil): hesabınız aktif olduğu sürece saklanır. Hesabınızı silerseniz, yasal yükümlülüklere uymak veya bir hukuki talebin tesisi, kullanılması ya da savunulması için sınırlı veriyi saklamamız gereken durumlar dışında, bu veriyi 30 gün içinde sileriz veya anonimleştiririz.
Mesajlar ve eşleştirme etkileşimleri: hesabın ömrü boyunca veya siz silene kadar saklanır, ardından 30 gün içinde silinir veya anonimleştirilir.
İşlem / faturalama kayıtları: ilgili vergi ve ticaret mevzuatının gerektirdiği süre boyunca (Türk hukuku kapsamında tipik olarak 10 yıl) saklanır.
Sunucu kayıtları ve analitik: güvenlik ve ürün ihtiyaçlarıyla tutarlı, sınırlı bir süre boyunca, tipik olarak 12 ay saklanır.

Daha uzun bir yasal saklama süresinin geçerli olduğu durumlarda, veriyi yalnızca o amaçla saklar ve ileri işlemeyi kısıtlarız.

8. Güvenlik

Kişisel verileri korumak için aktarım sırasında (ve uygun olduğunda durağan halde) şifreleme, parolaların özetlenmesi (hash'lenmesi), erişim kontrolleri ve en az yetki ilkesi, kayıt tutma ve erişimin yalnızca gizlilik yükümlülüğü altındaki yetkili personelle sınırlanması dahil olmak üzere uygun teknik ve idari önlemler uygularız. Doğum ve eşleştirme verisinin hassas niteliği nedeniyle, Kurumun özel nitelikli veriler için yeterli önlemlere ilişkin rehberiyle tutarlı, yükseltilmiş güvenceler uygularız. Hiçbir sistem tam anlamıyla güvenli değildir, ancak verilerinizi korumak ve olayları tespit edip müdahale etmek için çalışırız.

Kişisel veri ihlalleri: bir ihlal meydana gelirse, gecikmeksizin değerlendirir ve gerektiğinde yetkili denetim makamına ve etkilenen kişilere bildiririz. GDPR kapsamında, mümkün olduğu durumda ihlalden haberdar olduğumuzdan itibaren 72 saat içinde ilgili denetim makamına bildiririz ve hak ve özgürlükler bakımından yüksek risk bulunduğunda etkilenen kişileri bilgilendiririz. KVKK kapsamında, Kişisel Verileri Koruma Kurumuna en kısa sürede ve Kurul kararı doğrultusunda ihlalden haberdar olduğumuzdan itibaren 72 saat içinde bildirir, etkilenen ilgili kişileri de makul olan en kısa sürede bilgilendiririz.

9. Haklarınız

İlgili mevzuat kapsamında kişisel verilerinizle ilgili aşağıdaki haklara sahipsiniz.

9.1 KVKK kapsamında (Madde 11 — "ilgili kişi" hakları)

Kişisel verilerinizin işlenip işlenmediğini öğrenme.
Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme.
İşlenme amacını ve verilerin amacına uygun kullanılıp kullanılmadığını öğrenme.
Verilerin yurt içinde veya yurt dışında aktarıldığı üçüncü tarafları bilme.
Eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme.
KVKK koşulları çerçevesinde verilerin silinmesini veya yok edilmesini isteme.
Düzeltme, silme veya yok etme işlemlerinin, verilerin aktarıldığı üçüncü taraflara bildirilmesini isteme.
Verilerin yalnızca otomatik sistemlerle analiz edilmesi sonucu aleyhinize bir sonucun ortaya çıkmasına itiraz etme.
Hukuka aykırı işleme nedeniyle doğan zararların giderilmesini talep etme.

9.2 GDPR kapsamında

Kişisel verilerinize erişim hakkı.
Yanlış veya eksik verilerin düzeltilmesi hakkı.
Silme ("unutulma") hakkı.
İşlemenin kısıtlanması hakkı.
Veri taşınabilirliği hakkı.
Meşru menfaate dayalı işlemeye veya doğrudan pazarlamaya itiraz hakkı.
Önceki hukuka uygun işlemeyi etkilemeksizin, rızayı istediğiniz zaman geri çekme hakkı.
Profilleme dahil, yalnızca otomatik işlemeye dayalı ve hukuki ya da benzer şekilde önemli etkiler doğuran bir karara tabi olmama hakkı (bkz. Bölüm 10).
Bir denetim makamına şikayette bulunma hakkı.

9.3 Haklarınızı nasıl kullanabilirsiniz

Bu hakların herhangi birini hello@gnoapps.com adresinden bizimle iletişime geçerek veya KVKK başvuruları için yazılı olarak ya da Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'de belirtilen diğer yöntemlerle kullanabilirsiniz. Yasaların gerektirdiği süreler içinde yanıt veririz: KVKK kapsamında en geç 30 gün içinde (Kurumun belirlediği bir ücret tarifesi geçerli değilse ücretsiz olarak); GDPR kapsamında genellikle bir ay içinde, karmaşık taleplerde iki ay daha uzatılabilir. Bir talebi işleme almadan önce kimliğinizi doğrulamamız gerekebilir.

Türkiye'deyseniz, KVKK uyarınca önce bize başvurduktan sonra Kişisel Verileri Koruma Kurumuna şikayette bulunabilirsiniz. AEA'da iseniz, yerel veri koruma denetim makamınıza şikayette bulunabilirsiniz.

10. Otomatik karar verme ve profilleme (eşleştirme)

StarDust'ın eşleştirme özellikleri, uyumlu kişiler önermek için otomatik işleme ve profilleme kullanır. Bu işlem; doğum verinizi ve doğum haritanızı, belirttiğiniz tercihleri ve uygulama içi etkinliklerinizi (beğeniler ve eşleşmeler gibi) analiz ederek uyum puanları hesaplar ve olası eşleşmeleri sıralar veya öne çıkarır.

Bu öneriler tavsiye niteliğindedir: bağlantı kurup kurmamaya siz karar verirsiniz ve öneriler tek başına sizin üzerinizde hukuki veya benzer şekilde önemli etkiler doğurmaz. Otomatik eşleştirmenin benzer şekilde önemli bir etki doğurduğu kabul edilebilecek bir işleme içerdiği durumlarda, bunu yalnızca açık rızanıza dayanarak yürütürüz (GDPR md. 22(2)(c)). İnsan müdahalesi talep etme, görüşünüzü ifade etme ve sonuca itiraz etme hakkına sahipsiniz. KVKK'nın 11. maddesi uyarınca, yalnızca otomatik analiz sonucu ortaya çıkan ve aleyhinize olan bir sonuca itiraz edebilirsiniz. Eşleştirmeyi ve konuma dayalı önerileri Uygulama ayarlarından kapatabilir, sınırlayabilir veya düzenleyebilir ve rızanızı istediğiniz zaman geri çekebilirsiniz.

11. Çocuklar

StarDust ve web sitemiz 17 yaşın altındaki kişilere yönelik değildir ve onlar tarafından kullanılamaz. StarDust bir sosyal astronomi uygulaması olduğundan tüm hizmet 17 yaş ve üzeri içindir. 17 yaşından küçüklerden bilerek kişisel veri toplamayız. 17 yaşından küçük birinin bize kişisel veri sağladığını düşünüyorsanız, lütfen bizimle iletişime geçin; veriyi silmek için gerekli adımları atarız.

12. Çerezler ve takip

Pazarlama web sitemiz varsayılan olarak takip veya reklam çerezleri kullanmaz. Sitenin çalışması ve güvenli kalması için gerekli az sayıda zorunlu çerez veya benzer teknolojiler kullanabiliriz. Gelecekte analitik veya zorunlu olmayan çerezler eklersek, bu politikayı güncelleriz ve gerektiğinde, bu tür çerezler yerleştirilmeden önce bir çerez bildirimi aracılığıyla rızanızı isteriz. StarDust uygulaması, bu politikada ve uygulama içi bildirimlerde açıklandığı şekilde cihaz tanımlayıcıları ve benzer teknolojiler kullanabilir.

13. Bu politikadaki değişiklikler

Bu Gizlilik Politikasını, uygulamalarımızdaki değişiklikleri, Uygulamanın yayına alınmasını veya yasal gereklilikleri yansıtmak için zaman zaman güncelleyebiliriz. Önemli değişiklikler yaptığımızda, aşağıdaki yürürlük tarihini güncelleriz ve uygun olduğunda sizi önceden bilgilendiririz. Bu politikayı düzenli olarak gözden geçirmenizi öneririz.

Yürürlük tarihi: 17.06.2026

Sorumluluk reddi: Bu Gizlilik Politikası genel bilgilendirme amacıyla sağlanır ve hukuki tavsiye niteliği taşımaz.

privacy policy

last updated: 17.06.2026 · effective: 17.06.2026.

Privacy Policy

This Privacy Policy explains how gnoapps ("gnoapps", "we", "us", or "our") collects, uses, shares, and protects personal data in connection with our website and the StarDust mobile application ("StarDust" or the "App"). StarDust combines astronomy (real-sky maps), astrology (birth charts, horoscopes, transits), and matching (meeting compatible people based on their charts). This policy is written to comply with the Turkish Personal Data Protection Law No. 6698 ("KVKK") and its secondary legislation, and the EU General Data Protection Regulation ("GDPR").

Please read this policy carefully. By using our website or the App, you acknowledge that you have read and understood the practices described here. Where we rely on your consent, your use of a feature is not a substitute for that consent; we will ask for it separately and explicitly.

1. Who we are (Data Controller)

The data controller responsible for your personal data is:

gnoapps, a studio based in Istanbul, Türkiye.
Registered address: Istanbul, Türkiye (full registered address available on request via hello@gnoapps.com)
Contact email for all privacy matters: hello@gnoapps.com

For the purposes of KVKK, gnoapps acts as the "Veri Sorumlusu" (data controller). For the purposes of the GDPR, gnoapps is the "controller" that determines the purposes and means of processing your personal data.

VERBİS registration: Data controllers that meet the thresholds set by the Turkish Personal Data Protection Authority (for example, based on employee numbers, annual financial balance, or the nature of the data processed) must register with the Data Controllers' Registry Information System ("VERBİS"). Once StarDust launches and processes the personal data described below — including special-category data — gnoapps will assess and, where the obligation applies, complete VERBİS registration before such processing begins and will keep its registry entry up to date.

Data protection contact / DPO: a contact point for data protection matters can be reached at the email above. Where the GDPR requires it, gnoapps will appoint a Data Protection Officer (DPO) and/or an EU representative under GDPR Article 27, and will publish their details here.

Information notice (KVKK Art. 10): this policy, together with any in-app or in-form notices presented at the point of collection, serves as the clarification/information notice ("aydınlatma metni") required under Article 10 of KVKK.

2. Scope of this policy

This policy covers two distinct situations:

The website today: our marketing website currently collects only the email address you submit to join the StarDust waitlist. The site does not use tracking or advertising cookies by default.
The StarDust app in the future: once the App launches, it will collect additional personal data needed to deliver astronomy, astrology, and matching features. These categories are described below so you understand them in advance. They apply only when you create an account and use the App.

3. Categories of personal data we collect

3.1 Website (now)

Contact data: the email address you provide to join the waitlist.
Limited technical data: basic server logs (such as IP address and request time) that our hosting provider generates for security and to keep the site running. We do not use these for tracking or profiling.

3.2 StarDust app (after launch)

Account and profile data: name or display name, email, password (stored only in hashed form), and profile details you choose to add.
Birth data: birth date, birth time, and birth place / location. This is used to generate your birth chart, horoscopes, transits, and compatibility results.
Photos: profile or other photos you choose to upload (optional).
Matching and interaction data: preferences, likes, matches, messages, and other activity generated when you use the matching features. Matching involves automated processing and profiling — see Section 10.
Location data: approximate or precise location, where you enable it, for "what's above you tonight" sky features and, optionally, for nearby matching.
Device and usage data: device type, device identifiers, operating system, app version, crash logs, and aggregated usage analytics.

Special categories of data: some of the data you provide may be, or may reveal, sensitive or "special category" personal data under GDPR Article 9, and "özel nitelikli kişisel veri" under KVKK Article 6. For example, photos may reveal racial or ethnic origin, religious belief, or health, and your birth-chart, matching, and profile data — taken together — may reveal or be used to infer such characteristics, including (depending on what you choose to share) data concerning your sex life or sexual orientation. Where this is the case, we process such data only with your explicit consent ("açık rıza" under KVKK; explicit consent under GDPR Article 9(2)(a)), or on another lawful ground expressly permitted by law, and we apply additional safeguards. We do not infer special-category characteristics for any purpose other than delivering the features you have explicitly enabled, and we do not use them for advertising.

4. Purposes and legal bases for processing

We only process personal data where we have a valid legal basis. The list below explains why we process data and the legal basis under both KVKK and the GDPR. For ordinary (non-sensitive) data under KVKK we rely on the grounds in Article 5; for special-category data we rely on the grounds in Article 6.

To manage the waitlist and contact you about launch. Legal basis: your consent (GDPR Art. 6(1)(a)); KVKK explicit consent ("açık rıza") for marketing/launch contact. You can withdraw consent at any time.
To create and operate your account and deliver core App features (charts, horoscopes, sky maps, matching). Legal basis: performance of a contract (GDPR Art. 6(1)(b)); KVKK Art. 5/2(c) — processing necessary for the establishment or performance of a contract.
To process birth data, photos, and matching data that are or may be sensitive. Legal basis: your explicit consent (GDPR Art. 9(2)(a)); KVKK Art. 6 explicit consent ("açık rıza"). You provide this consent separately, before these features are activated, and you can withdraw it at any time.
To run automated matching and compatibility profiling. Legal basis: your explicit consent (GDPR Art. 9(2)(a) and, for the profiling itself, Art. 22(2)(c) explicit consent); KVKK explicit consent. See Section 10.
To keep our services secure, prevent fraud and abuse, and operate our systems. Legal basis: our legitimate interests (GDPR Art. 6(1)(f)); KVKK Art. 5/2(f) — legitimate interests of the controller, balanced against your fundamental rights and freedoms. You may request a summary of our balancing assessment (LIA).
To improve the product through analytics. Legal basis: your consent where required (GDPR Art. 6(1)(a) / KVKK explicit consent), or our legitimate interests (GDPR Art. 6(1)(f); KVKK Art. 5/2(f)) in aggregated, non-intrusive measurement.
To comply with legal obligations. Legal basis: compliance with a legal obligation (GDPR Art. 6(1)(c)); KVKK Art. 5/2(ç) — legal obligation of the controller.
To establish, exercise, or defend legal claims. Legal basis: GDPR Art. 6(1)(f) / Art. 9(2)(f); KVKK Art. 5/2(e) and the corresponding ground in Art. 6.

Where we rely on explicit consent, you are never required to consent to use the parts of the service that do not depend on that data, and withdrawing consent does not affect the lawfulness of processing carried out before withdrawal.

5. Third parties and processors

We share personal data only with service providers ("processors" under the GDPR; "veri işleyen" under KVKK) who process it on our behalf, under a written contract that imposes confidentiality and security obligations, and only as needed. Current categories of recipients are:

Email and waitlist provider: to store waitlist emails and send launch communications.
Cloud hosting and storage providers: to host the website, App backend, and uploaded content.
App stores (Apple App Store, Google Play): to distribute the App and process in-app purchases or subscriptions; these stores act as independent controllers for the data they collect under their own policies.
Analytics and crash-reporting providers: only if and when enabled, for product measurement and stability.
Professional advisers and authorities: legal, accounting, and security advisers, and competent public authorities, where required by law or to defend legal claims.

We can provide the specific, up-to-date list of processors and recipients on request to the contact address above. We do not sell your personal data, and we do not share it with third parties for their own independent marketing without your consent.

6. International transfers

Some of our providers may store or process data outside Türkiye or the European Economic Area (EEA).

Under KVKK (Article 9, as amended in 2024): we transfer personal data abroad on one of the following bases, in order of preference: (i) to countries, sectors, or organizations covered by an adequacy decision of the Personal Data Protection Board; or, absent adequacy, (ii) on the basis of appropriate safeguards — such as standard contractual clauses ("standart sözleşme") that we notify to the Authority within the required period, binding corporate rules ("bağlayıcı şirket kuralları"), or an undertaking/protocol approved by the Board — provided the data subject is able to exercise their rights and access effective remedies in the destination country; or (iii) exceptionally, on one of the incidental derogations in Article 9, including your explicit consent obtained specifically for the transfer. We no longer rely on explicit consent as the routine basis for cross-border transfers.

Under the GDPR (Chapter V): we rely on adequacy decisions, Standard Contractual Clauses (SCCs) with any supplementary measures required, or another valid transfer mechanism. You may request a copy of, or information about, the specific safeguards we use by contacting us.

7. Data retention

We retain personal data only for as long as necessary for the purposes described in this policy, after which we delete, destroy, or anonymize it, in line with the KVKK storage-limitation principle and our personal data retention and destruction policy ("kişisel veri saklama ve imha politikası") and the GDPR storage-limitation principle. Indicative periods and criteria:

Waitlist emails: until launch communications are complete or until you ask us to delete them, whichever comes first, and in any event no later than 24 months after collection if the App has not launched.
Account and App data (including birth data, photos, matching data): kept for as long as your account is active. If you delete your account, we delete or anonymize this data within 30 days, except where we must retain limited data to comply with legal obligations or to establish, exercise, or defend legal claims.
Messages and matching interactions: retained for the life of the account or until you delete them, then deleted or anonymized within 30 days.
Transaction / billing records: retained for the period required by applicable tax and commercial law (typically 10 years under Turkish law).
Server logs and analytics: retained for a limited period consistent with security and product needs, typically 12 months.

Where a longer statutory retention period applies, we keep the data only for that purpose and restrict further processing.

8. Security

We apply appropriate technical and organizational measures to protect personal data, including encryption in transit (and, where appropriate, at rest), hashing of passwords, access controls and the principle of least privilege, logging, and limiting access to authorized personnel bound by confidentiality. Given the sensitive nature of birth and matching data, we apply heightened safeguards consistent with the Authority's guidance on adequate measures for special-category data. No system is perfectly secure, but we work to protect your data and to detect and respond to incidents.

Personal data breaches: if a breach occurs, we will assess it without undue delay and, where required, notify the competent supervisory authority and affected individuals. Under the GDPR, we will notify the relevant supervisory authority within 72 hours of becoming aware of a breach where feasible, and inform affected individuals where there is a high risk to their rights and freedoms. Under KVKK, we will notify the Personal Data Protection Authority within the shortest time and, in line with the Board's decision, within 72 hours of becoming aware, and inform affected data subjects as soon as reasonably possible.

9. Your rights

Subject to applicable law, you have the following rights regarding your personal data.

9.1 Under KVKK (Article 11 — rights of the "ilgili kişi" / data subject)

To learn whether your personal data is being processed.
To request information if your data has been processed.
To learn the purpose of processing and whether data is used in line with that purpose.
To know the third parties to whom data is transferred, in Türkiye or abroad.
To request correction of incomplete or inaccurate data.
To request deletion or destruction of your data within the conditions of KVKK.
To request that corrections, deletions, or destructions be notified to third parties to whom data was transferred.
To object to a result that is to your detriment arising from the analysis of your data solely by automated means.
To claim compensation for damages arising from unlawful processing.

9.2 Under the GDPR

Right of access to your personal data.
Right to rectification of inaccurate or incomplete data.
Right to erasure ("right to be forgotten").
Right to restriction of processing.
Right to data portability.
Right to object to processing based on legitimate interests or to direct marketing.
Right to withdraw consent at any time, without affecting prior lawful processing.
Right not to be subject to a decision based solely on automated processing, including profiling, that produces legal or similarly significant effects (see Section 10).
Right to lodge a complaint with a supervisory authority.

9.3 How to exercise your rights

You can exercise any of these rights by contacting us at hello@gnoapps.com, or, for KVKK applications, in writing or by the other methods set out in the Communiqué on Application to Data Controllers ("Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ"). We will respond within the timeframes required by law: under KVKK, at the latest within 30 days (free of charge, unless a fee tariff set by the Authority applies); under the GDPR, generally within one month, extendable by two further months for complex requests. We may need to verify your identity before acting on a request.

If you are in Türkiye, you may lodge a complaint with the Turkish Personal Data Protection Authority ("Kişisel Verileri Koruma Kurumu") after first applying to us, as required by KVKK. If you are in the EEA, you may lodge a complaint with your local data protection supervisory authority.

10. Automated decision-making and profiling (matching)

StarDust's matching features use automated processing and profiling to suggest compatible people. This works by analyzing your birth data and birth chart, your stated preferences, and your in-app activity (such as likes and matches) to compute compatibility scores and rank or surface potential matches.

These suggestions are recommendations: you decide whether to connect, and the suggestions do not by themselves produce legal effects or similarly significant effects on you. Where automated matching does involve processing that could be considered to have a similarly significant effect, we carry it out only on the basis of your explicit consent (GDPR Art. 22(2)(c)). You have the right to obtain human intervention, to express your point of view, and to contest the outcome. Under KVKK Article 11, you may object to a result that arises solely from automated analysis and is to your detriment. You can turn off, limit, or adjust matching and location-based suggestions in the App settings, and you can withdraw your consent at any time.

11. Children

StarDust and our website are not intended for, and may not be used by, anyone under the age of 17. Because StarDust is a social astronomy app, the entire service is for users aged 17 and older. We do not knowingly collect personal data from anyone under 17. If you believe someone under 17 has provided us with personal data, please contact us and we will take steps to delete it.

12. Cookies and tracking

Our marketing website does not use tracking or advertising cookies by default. We may use a small number of strictly necessary cookies or similar technologies required for the site to function and to remain secure. If we introduce analytics or non-essential cookies in the future, we will update this policy and, where required, ask for your consent through a cookie banner before such cookies are set. The StarDust app may use device identifiers and similar technologies as described in this policy and in any in-app notices.

13. Changes to this policy

We may update this Privacy Policy from time to time to reflect changes in our practices, the launch of the App, or legal requirements. When we make material changes, we will update the effective date below and, where appropriate, notify you in advance. We encourage you to review this policy periodically.

Effective date: 17.06.2026

Disclaimer: This Privacy Policy is provided for general information and does not constitute legal advice.