KVKK Aydınlatma Metni

Personal Data Protection Disclosure

Son güncelleme: 24 Mart 2026

Last updated: March 24, 2026

6698 Sayılı Kanun Kapsamında Under Turkish Law No. 6698 (KVKK)

1. Veri Sorumlusu

6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") uyarınca, kişisel verileriniz; veri sorumlusu sıfatıyla Owlivion ("Şirket") tarafından aşağıda açıklanan amaçlar çerçevesinde ve KVKK'da öngörülen ilkelere uygun olarak işlenmektedir.

Ürün: OwlMail — Gizlilik odaklı masaüstü e-posta istemcisi (Tauri v2)
Lisans: Açık kaynak (MIT Lisansı)
İletişim: kvkk@owlivion.com

2. İşlenen Kişisel Veriler

OwlMail, yerel öncelikli (local-first) mimarisi gereği kişisel verilerinizi mümkün olan en düşük düzeyde işlemektedir. Uygulama hiçbir telemetri, analitik veya kullanıcı takip verisi toplamaz.

Veri Kategorisi Veri Türleri Depolama Yeri
Kimlik ve İletişim E-posta adresi, ad-soyad (e-posta hesabından) Yerel cihaz (AES-256-GCM şifreli SQLite)
Kimlik Doğrulama E-posta şifresi, OAuth 2.0 token (Google/Microsoft) İşletim sistemi anahtar zinciri (OS Keychain)
E-posta İçerikleri Gelen/giden e-postalar, ekler, taslaklar Yerel şifreli SQLite veritabanı
Uygulama Ayarları Tema, dil, kısayollar, filtreler, imzalar, etiketler Yerel cihaz
Senkronizasyon (İsteğe Bağlı) Cihaz bilgisi, ayarlar, kişiler, senkronizasyon meta verisi Owlivion sunucusu (uçtan uca şifreli)
AI İşleme (İsteğe Bağlı) E-posta içeriği (özetleme/kategorileme amaçlı) Google Gemini API veya yerel Ollama

Önemli: OwlMail sıfır telemetri ve sıfır takip politikası uygular. Tüm e-posta işlemleri doğrudan e-posta sunucunuz ile bilgisayarınız arasında gerçekleşir. Hiçbir kullanım verisi, analitik bilgi veya davranışsal veri toplanmaz.

3. Kişisel Veri İşleme Amaçları

Kişisel verileriniz aşağıdaki amaçlarla işlenmektedir:

  • E-posta hizmetinin sağlanması: IMAP/SMTP protokolleri üzerinden e-posta gönderme, alma ve yönetme
  • Hesap yönetimi: Birden fazla e-posta hesabının yapılandırılması ve yönetilmesi
  • Güvenlik: AES-256-GCM şifreleme, phishing tespiti, izleme pikseli engelleme, ek tehdit taraması
  • Senkronizasyon (isteğe bağlı): Owlivion Sync aracılığıyla cihazlar arası ayar, kişi ve tercih senkronizasyonu
  • Yapay zekâ özellikleri (isteğe bağlı): Google Gemini veya yerel Ollama ile e-posta özetleme, kategorileme ve akıllı yanıtlama
  • Bildirimler: Yeni e-posta bildirimleri (yalnızca yerel)

4. Hukuki Sebepler — KVKK Madde 5

Kişisel verileriniz, KVKK'nın 5. maddesi kapsamında aşağıdaki hukuki sebeplere dayanılarak işlenmektedir:

  • Açık rıza (m.5/1): Owlivion Sync senkronizasyon hizmeti ve yapay zekâ özelliklerinin kullanımı
  • Sözleşmenin ifası (m.5/2-c): E-posta hizmetinin sağlanması için gerekli veri işleme faaliyetleri
  • Meşru menfaat (m.5/2-f): Güvenlik önlemleri (phishing tespiti, izleme pikseli engelleme), hizmet kalitesinin artırılması ve hata giderme
  • Hukuki yükümlülük (m.5/2-ç): Yasal düzenlemeler kapsamında zorunlu veri saklama yükümlülükleri

Not: Özel nitelikli kişisel veri (KVKK m.6) işlenmemektedir. OwlMail, e-posta içeriklerinizi sunucularına göndermez; tüm işlemler yerel cihazınızda gerçekleşir.

5. Kişisel Verilerin Aktarımı

Kişisel verileriniz, KVKK'nın 8. maddesi kapsamında aşağıdaki alıcı gruplarına aktarılabilir:

Aktarım Yapılan Taraf Amaç Koşul
E-posta sağlayıcınız
(Gmail, Outlook vb.)		 E-posta gönderme/alma (IMAP/SMTP) Zorunlu — hizmetin sağlanması için gerekli
Google OAuth / Microsoft OAuth Kimlik doğrulama (OAuth 2.0) Kullanıcı tercihi — yalnızca OAuth ile giriş tercih edildiğinde
Google Gemini API AI özetleme, kategorileme, akıllı yanıt Kullanıcı tercihi — opt-in, devre dışı bırakılabilir
Owlivion Sync Sunucusu Cihazlar arası senkronizasyon Kullanıcı tercihi — uçtan uca şifreli (E2E)

Yerel AI Seçeneği: Ollama entegrasyonu ile tüm yapay zekâ işlemleri tamamen yerel olarak çalıştırılabilir; bu durumda hiçbir e-posta verisi cihazınız dışına çıkmaz.

6. Yurt Dışına Veri Aktarımı — KVKK Madde 9

KVKK'nın 9. maddesi kapsamında, kişisel verileriniz aşağıdaki durumlarda yurt dışına aktarılabilir:

  • E-posta sunucuları: E-posta sağlayıcınızın sunucuları yurt dışında bulunabilir (örn. Google, Microsoft). Bu aktarım, e-posta hizmetinin doğası gereği zorunludur.
  • Google Gemini API: AI özelliklerini etkinleştirdiğinizde e-posta içerikleriniz Google sunucularına gönderilir. Bu özellik varsayılan olarak kapalıdır ve açık rızanıza bağlıdır.
  • OAuth 2.0 kimlik doğrulama: Google veya Microsoft ile OAuth kullanımında kimlik doğrulama verileri ilgili sağlayıcının sunucularına aktarılır.

Owlivion Sync sunucusu Türkiye'de konumlanmıştır. Senkronizasyon verileriniz uçtan uca şifrelenerek aktarılır; sunucu tarafında şifresi çözülmüş veriye erişim bulunmamaktadır.

Koruma önlemi: Yurt dışına aktarılan tüm veriler şifreli kanallar (TLS 1.2+) üzerinden iletilir. AI ve senkronizasyon özellikleri tamamen isteğe bağlıdır; kullanmadığınız sürece hiçbir veri yurt dışına aktarılmaz.

7. Veri Saklama Süresi

Kişisel verileriniz, işleme amacının gerektirdiği süre boyunca saklanır:

  • Yerel veriler: Uygulamayı kaldırdığınızda veya hesabınızı sildiğinizde otomatik olarak silinir. Zeroize kütüphanesi ile hassas veriler bellekten güvenli şekilde temizlenir.
  • Senkronizasyon verileri: Hesap silme talebiniz üzerine 30 gün içinde kalıcı olarak silinir.
  • Şifreli yedekler: 90 gün sonra otomatik olarak temizlenir.
  • OAuth token'ları: Hesap bağlantısını kaldırdığınızda anında iptal edilir ve silinir.

Yasal saklama yükümlülükleri saklıdır. İlgili mevzuatın öngördüğü saklama süresi sona erdiğinde verileriniz imha politikamız doğrultusunda silinir, yok edilir veya anonim hâle getirilir.

8. KVKK Kapsamındaki Haklarınız — Madde 11

KVKK'nın 11. maddesi uyarınca, veri sorumlusuna başvurarak aşağıdaki haklarınızı kullanabilirsiniz:

  1. Kişisel verilerinizin işlenip işlenmediğini öğrenme,
  2. Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  6. KVKK'nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  7. Düzeltme ve silme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
  9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.

9. Başvuru Yöntemi

Yukarıda belirtilen haklarınızı kullanmak için aşağıdaki yöntemlerle veri sorumlusuna başvurabilirsiniz:

  • E-posta: kvkk@owlivion.com adresine kimlik teyidi ile birlikte başvurunuzu iletebilirsiniz.
  • Yazılı başvuru: Islak imzalı dilekçenizi noter aracılığıyla veya iadeli taahhütlü posta ile gönderebilirsiniz.

Başvurularda; adınız-soyadınız, T.C. kimlik numaranız (yabancı uyruklular için pasaport numarası), tebligata esas adresiniz, varsa bildirime esas e-posta adresiniz, telefon numaranız ve talep konusunu belirtmeniz gerekmektedir.

Başvurunuz, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandırılacaktır. İşlemin ayrıca bir maliyet gerektirmesi hâlinde Kişisel Verileri Koruma Kurulu tarafından belirlenen tarife uygulanacaktır.

10. Veri Güvenliği Önlemleri

OwlMail, kişisel verilerinizin güvenliğini sağlamak için aşağıdaki teknik ve idari önlemleri almaktadır:

Teknik Önlemler

  • AES-256-GCM şifreleme: Yerel SQLite veritabanı ve tüm hassas veriler şifreli olarak saklanır
  • OS Keychain entegrasyonu: Kimlik bilgileri (şifreler, OAuth token'ları) işletim sistemi anahtar zincirinde korunur
  • HKDF anahtar türetme: Ring kütüphanesi ile güvenli anahtar yönetimi
  • Zeroize bellek temizleme: Hassas veriler işlem sonrası bellekten güvenli şekilde silinir
  • Uçtan uca şifreleme (E2E): Senkronizasyon verileri istemci tarafında şifrelenir
  • İzleme pikseli engelleme: Harici görseller varsayılan olarak engellenir
  • Phishing tespiti: AI destekli kimlik avı e-posta tespiti
  • TLS 1.2+ zorunluluğu: Tüm uzak bağlantılarda şifreli iletişim
  • Content Security Policy (CSP): Webview'da katı güvenlik politikaları

İdari Önlemler

  • Açık kaynak denetimi: Tüm kaynak kodu MIT lisansı ile halka açık olarak denetlenebilir
  • Sıfır telemetri politikası: Hiçbir kullanım verisi veya analitik bilgi toplanmaz
  • Minimum veri toplama ilkesi: Yalnızca hizmet için zorunlu veriler işlenir
  • Düzenli güvenlik güncellemeleri: Bağımlılıklar ve güvenlik yamaları düzenli olarak güncellenir

11. Değişiklikler

İşbu aydınlatma metni, yasal düzenlemelerdeki değişiklikler, hizmet kapsamındaki güncellemeler veya veri işleme faaliyetlerindeki değişiklikler doğrultusunda güncellenebilir. Güncelleme tarihi sayfa başında belirtilmektedir.

Önemli değişiklikler, uygulama içi bildirim yoluyla kullanıcılara duyurulacaktır. Güncel metne her zaman bu sayfa üzerinden ulaşabilirsiniz.

1. Data Controller

In accordance with the Turkish Personal Data Protection Law No. 6698 ("KVKK"), your personal data is processed by Owlivion ("Company") as the data controller, within the framework of the purposes explained below and in compliance with the principles set forth in KVKK.

Product: OwlMail — Privacy-focused desktop email client (Tauri v2)
License: Open source (MIT License)
Contact: kvkk@owlivion.com

2. Personal Data Processed

OwlMail operates on a local-first architecture, processing your personal data at the minimum level possible. The application collects zero telemetry, analytics, or user tracking data.

Data Category Data Types Storage Location
Identity & Contact Email address, name (from email account) Local device (AES-256-GCM encrypted SQLite)
Authentication Email password, OAuth 2.0 tokens (Google/Microsoft) Operating system keychain
Email Content Incoming/outgoing emails, attachments, drafts Local encrypted SQLite database
Application Settings Theme, language, shortcuts, filters, signatures, labels Local device
Sync (Optional) Device info, settings, contacts, sync metadata Owlivion server (end-to-end encrypted)
AI Processing (Optional) Email content (for summarization/categorization) Google Gemini API or local Ollama

Important: OwlMail enforces a zero telemetry and zero tracking policy. All email operations occur directly between your email server and your computer. No usage data, analytics, or behavioral data is collected.

3. Purposes of Personal Data Processing

Your personal data is processed for the following purposes:

  • Email service delivery: Sending, receiving, and managing emails via IMAP/SMTP protocols
  • Account management: Configuring and managing multiple email accounts
  • Security: AES-256-GCM encryption, phishing detection, tracking pixel blocking, attachment threat scanning
  • Sync (optional): Cross-device synchronization of settings, contacts, and preferences via Owlivion Sync
  • AI features (optional): Email summarization, categorization, and smart replies via Google Gemini or local Ollama
  • Notifications: New email notifications (local only)

4. Legal Basis — KVKK Article 5

Your personal data is processed based on the following legal grounds under Article 5 of KVKK:

  • Explicit consent (Art. 5/1): Use of Owlivion Sync service and AI features
  • Performance of contract (Art. 5/2-c): Data processing activities necessary for providing the email service
  • Legitimate interest (Art. 5/2-f): Security measures (phishing detection, tracking pixel blocking), service quality improvement, and error resolution
  • Legal obligation (Art. 5/2-ç): Mandatory data retention obligations under applicable regulations

Note: No special categories of personal data (KVKK Art. 6) are processed. OwlMail does not send your email content to its own servers; all processing occurs on your local device.

5. Transfer of Personal Data

Your personal data may be transferred to the following recipients under Article 8 of KVKK:

Recipient Purpose Condition
Your email provider
(Gmail, Outlook, etc.)		 Sending/receiving email (IMAP/SMTP) Required — necessary for service delivery
Google OAuth / Microsoft OAuth Authentication (OAuth 2.0) User preference — only when OAuth login is selected
Google Gemini API AI summarization, categorization, smart reply User preference — opt-in, can be disabled
Owlivion Sync Server Cross-device synchronization User preference — end-to-end encrypted (E2E)

Local AI Option: With Ollama integration, all AI operations can run entirely locally; in this case, no email data leaves your device.

6. International Data Transfer — KVKK Article 9

Under Article 9 of KVKK, your personal data may be transferred abroad in the following circumstances:

  • Email servers: Your email provider's servers may be located abroad (e.g., Google, Microsoft). This transfer is inherent to the nature of email services.
  • Google Gemini API: When AI features are enabled, email content is sent to Google servers. This feature is off by default and requires your explicit consent.
  • OAuth 2.0 authentication: When using OAuth with Google or Microsoft, authentication data is transferred to the respective provider's servers.

The Owlivion Sync server is located in Turkey. Your sync data is transmitted with end-to-end encryption; there is no access to decrypted data on the server side.

Safeguard: All data transferred abroad is transmitted over encrypted channels (TLS 1.2+). AI and sync features are entirely optional; no data is transferred abroad unless you use these features.

7. Data Retention Period

Your personal data is retained for the duration required by the processing purpose:

  • Local data: Automatically deleted when you uninstall the application or delete your account. Sensitive data is securely wiped from memory using the Zeroize library.
  • Sync data: Permanently deleted within 30 days of your account deletion request.
  • Encrypted backups: Automatically purged after 90 days.
  • OAuth tokens: Immediately revoked and deleted when you disconnect your account.

Legal retention obligations are reserved. When the retention period prescribed by applicable legislation expires, your data is deleted, destroyed, or anonymized in accordance with our data disposal policy.

8. Your Rights Under KVKK — Article 11

Under Article 11 of KVKK, you have the right to apply to the data controller and:

  1. Learn whether your personal data is being processed,
  2. Request information about processing if your personal data has been processed,
  3. Learn the purpose of processing and whether data is used in accordance with its purpose,
  4. Know the third parties to whom your personal data is transferred domestically or abroad,
  5. Request rectification if your personal data is incomplete or inaccurately processed,
  6. Request deletion or destruction of personal data under the conditions set forth in Article 7 of KVKK,
  7. Request notification of rectification and deletion operations to third parties to whom personal data has been transferred,
  8. Object to any adverse conclusion arising from the analysis of processed data exclusively through automated systems,
  9. Claim compensation for damages arising from unlawful processing of personal data.

9. How to Exercise Your Rights

To exercise the rights listed above, you may apply to the data controller through the following methods:

  • Email: Submit your request with identity verification to kvkk@owlivion.com.
  • Written application: Send a signed petition via notary public or registered mail with return receipt.

Applications must include your full name, Turkish ID number (passport number for foreign nationals), residential address, email address (if applicable), phone number, and the subject of your request.

Your application will be resolved free of charge as soon as possible and within 30 (thirty) days at the latest. If the process requires additional cost, the tariff determined by the Personal Data Protection Board shall apply.

10. Data Security Measures

OwlMail implements the following technical and administrative measures to ensure the security of your personal data:

Technical Measures

  • AES-256-GCM encryption: Local SQLite database and all sensitive data stored encrypted
  • OS Keychain integration: Credentials (passwords, OAuth tokens) protected in the operating system keychain
  • HKDF key derivation: Secure key management via the Ring cryptography library
  • Zeroize memory wiping: Sensitive data securely erased from memory after processing
  • End-to-end encryption (E2E): Sync data encrypted on the client side
  • Tracking pixel blocking: External images blocked by default
  • Phishing detection: AI-powered phishing email detection
  • TLS 1.2+ enforcement: Encrypted communication on all remote connections
  • Content Security Policy (CSP): Strict security policies in webview

Administrative Measures

  • Open source audit: Full source code publicly auditable under MIT license
  • Zero telemetry policy: No usage data or analytics collected
  • Data minimization principle: Only data essential for the service is processed
  • Regular security updates: Dependencies and security patches updated regularly

11. Changes

This disclosure text may be updated in line with changes in legislation, service scope updates, or changes in data processing activities. The update date is indicated at the top of the page.

Significant changes will be communicated to users via in-app notifications. You can always access the current text on this page.