Cepte Kalan — Gizlilik Politikası

Yürürlük tarihi: 1 Mayıs 2026 · Son güncelleme: 24 Mayıs 2026

Bu gizlilik politikası, Cepte Kalan mobil uygulamasını (bundan sonra "Uygulama") kullanırken hangi verilerin işlendiğini, nasıl saklandığını ve haklarınızın neler olduğunu açıklar. Uygulamayı kullanarak bu politikayı kabul etmiş sayılırsınız.

1. Hangi verileri topluyoruz?

Cepte Kalan, kişisel finans takibi yapmanızı sağlayan bir uygulamadır. Verileriniz mümkün olduğunca sizin cihazınızda kalır.

a) Cihazınızda saklanan veriler (lokal)

Aşağıdaki veriler yalnızca telefonunuzun depolama alanında tutulur, sunucularımıza gönderilmez:

Gelir ve gider kayıtlarınız
Düzenli (otomatik tekrar eden) işlemleriniz
Yatırım kayıtlarınız (altın, döviz)
Oluşturduğunuz bütçeler ve birikim hedefleri
Kredi kartı limit ve borç bilgileri
Özel kategori isimleri
Profil adı ve isteğe bağlı profil fotoğrafı
Uygulama içi bildirim geçmişi
Yapay zeka finansal asistan konuşma geçmişi

Bu veriler cihazınızı değiştirdiğinizde veya uygulamayı sildiğinizde kaybolur.

b) Hesap verileri (giriş yaparsanız)

Bazı özellikler için (sesli işlem ve gelecek dönemde sunulacak premium özellikler) Google veya Apple ile giriş yapmanızı isteyebiliriz. Giriş yaptığınızda:

Google ile giriş: Google hesap bilgileriniz (e-posta adresi, ad, profil fotoğrafı bağlantısı, benzersiz kimlik) Firebase Authentication tarafından alınır.
Apple ile giriş: Apple kimliğiniz (userIdentifier), e-posta adresiniz (gerçek veya Apple'ın "E-postamı Gizle" özelliği aktifse xyz@privaterelay.appleid.com formatında relay adres) ve ilk girişte tam adınız Firebase Authentication tarafından alınır. Sonraki girişlerde sadece userIdentifier işlenir.
Şifrenizi görmüyoruz veya saklamıyoruz — kimlik doğrulamayı tamamen Google/Apple yönetir.

Giriş yapmadan da uygulamayı kullanabilirsiniz; bu durumda yukarıdaki bilgiler toplanmaz.

c) Sesli işlem özelliği

Sesli işlem özelliğini kullanırsanız:

Konuşmanız cihazınızda metne dönüştürülür (Google'ın speech_to_text kütüphanesi).
Bu metin (ses dosyası değil) sunucumuz aracılığıyla Google Gemini API'ye gönderilir, anlamlandırılır ve sonuç cihazınıza döner.
Konuşma metni saklanmaz — sadece yorumlanmak üzere işlenir ve hemen silinir.
Bu özellik için giriş yapmanız zorunludur.

d) Çökme raporları (Crashlytics)

Uygulama, kararlılığını artırmak amacıyla Firebase Crashlytics kullanır. Uygulama beklenmedik şekilde kapandığında aşağıdaki anonim teknik veriler otomatik olarak toplanır:

Çökme anındaki hata yığını (stack trace)
Cihaz modeli, işletim sistemi sürümü
Uygulama sürümü

Bu veriler doğrudan kimliğinizi açığa çıkaracak bilgi içermez; ancak teknik amaçlar için Firebase tarafından üretilen pseudonim tanımlayıcılar (Firebase Installation ID) kullanılabilir. Finansal kayıtlarınız, hesap bilgileriniz veya kişisel notlarınız Crashlytics'e gönderilmez. Crashlytics yalnızca yayın (release) sürümünde aktiftir; geliştirme sırasında kapalıdır. Bu özelliği Ayarlar > Güvenlik > "Çökme raporları" toggle'ından istediğiniz zaman kapatabilirsiniz.

e) Diğer otomatik teknik veriler

Cepte Kalan, Crashlytics haricinde kendi başına kullanım takibi (analytics), reklam izleme veya başka herhangi bir telemetri verisi toplamaz.

Yalnızca Google ile giriş yaparsanız, kimlik doğrulama sırasında Firebase Authentication güvenlik amaçlı asgari teknik bilgi (yaklaşık IP, cihaz türü) işleyebilir. Bu işleme Google'ın kendi gizlilik politikası kapsamındadır (Bölüm 3'teki bağlantıya bakın).

2. İzinler

Uygulama aşağıdaki izinleri isteyebilir. Hepsi isteğe bağlıdır; reddederseniz ilgili özellik çalışmaz, ancak uygulamanın geri kalanı kullanılabilir.

İzin	Ne için kullanılır
Bildirim	Bütçe ve birikim hedefi uyarıları için (pazarlama bildirimi gönderilmez)
Mikrofon	Sesli işlem ekleme özelliği için
İnternet	Piyasa kurları ve isteğe bağlı giriş için
Depolama	Profil fotoğrafı seçimi için

3. Üçüncü taraf servisleri

Aşağıdaki Google servislerini kullanıyoruz. Her servisin gizlilik politikasına bağlantılar verilmiştir:

Firebase Authentication — Google ile giriş için
Politika: https://firebase.google.com/support/privacy
Firebase Cloud Functions — Sesli işlem aracılığı için
Politika: https://firebase.google.com/support/privacy
Firebase Cloud Firestore — Güncel altın ve döviz kurlarını saklamak için (kişisel veriniz Firestore'da tutulmaz)
Politika: https://firebase.google.com/support/privacy
Google Gemini API — Sesli işlemin metnini yorumlamak için (yalnızca sunucu üzerinden çağrılır)
Politika: https://ai.google.dev/gemini-api/terms
Google Sign-In — Hesap doğrulaması için
Politika: https://policies.google.com/privacy
Sign in with Apple — iOS'ta hesap doğrulaması için (Apple App Store gereği)
Politika: https://www.apple.com/legal/privacy/

Ayrıca güncel piyasa verisi için üçüncü taraf bir finansal veri sağlayıcısı kullanırız. Bu servise hiçbir kullanıcı bilgisi gönderilmez; yalnızca sunucumuz üzerinden kur verileri çekilir.

Firebase Crashlytics — Çökme raporları için (anonim teknik veriler; kişisel veri içermez)
Politika: https://firebase.google.com/support/privacy

Reklam ağı (AdMob, Meta Audience vb.), kullanıcı davranışı analitiği (Google Analytics, Firebase Analytics, Mixpanel vb.) gibi takip ve telemetri amaçlı üçüncü taraf SDK'ları kullanmıyoruz.

4. Yapay Zeka Finansal Asistan

Uygulama, finansal verilerinizi analiz ederek genel bilgilendirme sunan isteğe bağlı bir Yapay Zeka Finansal Asistan özelliği içerir. Bu özellik Google Gemini API kullanır ve yalnızca siz aktif olarak kullandığınızda çalışır; arka planda veri toplamaz veya göndermez.

a) Kullanım koşulları

Bu özelliği kullanabilmek için Firebase Authentication ile giriş yapmanız (Google veya Apple hesabı) zorunludur.
Özelliği ilk kez kullandığınızda, hangi verilerin paylaşılacağını ve sınırlamaları açıklayan 3 maddelik bir onay diyaloğu sunulur. Onay vermeden özellik kullanılamaz.
Asistan yatırım, vergi veya hukuki tavsiye vermez — yalnızca genel finansal bilgilendirme sağlar.

b) Gemini API'ye gönderilen veriler (beyaz liste)

Asistan aşağıdaki verileri yalnızca analiz amacıyla Google Gemini API'ye gönderir:

İşlem verileri: tutar, kategori, ödeme aracı (nakit/kredi kartı), işlem türü (kişisel/iş), tarih
Yatırım verileri: varlık türü, miktar, alış fiyatı, tarih
Hesap özetleri: vadesiz bakiye, kredi kartı borcu, kredi kartı limiti
Önceden hesaplanmış özetler: aylık gelir/gider ortalamaları, kategori bazlı dağılımlar

c) Kesinlikle gönderilmeyen veriler (kara liste)

Aşağıdaki veriler hiçbir koşulda Gemini API'ye veya başka bir üçüncü tarafa gönderilmez:

İşlem açıklamaları ve notlar (kişisel bilgi içerebilir)
Fotoğraflar, dosyalar, ekler
Banka hesap numaraları, IBAN
E-posta adresleri, telefon numaraları, kullanıcı adları
Kişisel olarak tanımlanabilir hiçbir bilgi (PII)

d) Veri saklama ve gizlilik

Asistan ile yaptığınız konuşmalar yalnızca cihazınızda (SharedPreferences) saklanır; sunucularımızda tutulmaz.
Google Gemini API Hizmet Koşulları gereği, gönderilen veriler model eğitimi için kullanılmaz.
Veriler yalnızca siz asistanı aktif olarak kullandığınızda gönderilir — pasif veya otomatik veri toplama yapılmaz.

5. Verilerinizi kimseyle paylaşmıyoruz

Uygulamada işlediğiniz finansal verileri (işlemleriniz, bütçeleriniz, hedefleriniz) hiçbir üçüncü tarafa satmıyoruz, kiralamıyoruz veya paylaşmıyoruz. Bu veriler sizinle ve cihazınızla sınırlı kalır.

Tek istisna: yasal bir yükümlülük doğarsa (mahkeme kararı, yasal soruşturma) ilgili otoritelere yasanın gerektirdiği kadar bilgi sunulabilir.

6. Veri saklama süresi

Cihazınızdaki veriler: Siz silene kadar veya uygulamayı kaldırana kadar.
Google hesap bilgileriniz: Hesabınızı silene kadar (aşağıya bakın).
Sesli işlem metni: İşleme alındıktan hemen sonra silinir, hiçbir yerde saklanmaz.
Yapay zeka asistan konuşmaları: Yalnızca cihazınızda saklanır; siz silene kadar veya uygulamayı kaldırana kadar.

7. Haklarınız ve veri silme

Verilerinizi silmek için iki yolunuz var:

a) Yerel verileri silme
Ayarlar sayfasındaki "Tüm Kayıtları Sıfırla" butonu ile cihazınızdaki tüm uygulama verisini kalıcı olarak silebilirsiniz. (Giriş yapmadıysanız bu seçenek görünür.)

b) Hesabınızı silme
Giriş yaptıysanız, ayarlar sayfasındaki "Hesabı Sil" butonu ile:

Firebase'deki kullanıcı kaydınız kalıcı olarak silinir,
Cihazınızdaki tüm verileriniz silinir,
İşlem geri alınamaz.

Tekrar giriş yapmaya karar verirseniz uygulama sizi yeni bir kullanıcı olarak karşılar.

Diğer haklarınız (KVKK ve GDPR kapsamında)

Erişim hakkı: Sizinle ilgili işlediğimiz verileri görme.
Bilgi alma hakkı: Verilerinizin nasıl ve neden işlendiğini öğrenme.
Düzeltme hakkı: Yanlış olan bilgilerinizi güncelletme.
Silme hakkı (Unutulma hakkı): Verilerinizin kalıcı olarak silinmesini talep etme.
İşlemeyi kısıtlama hakkı: Belirli durumlarda verilerinizin nasıl kullanıldığını sınırlandırma.
Veri taşınabilirliği hakkı: Verilerinizi yapılandırılmış, makineyle okunabilir bir formatta (örn. JSON) talep etme.
İtiraz hakkı: Belirli işleme türlerine itiraz etme.
Onayı geri çekme hakkı: Daha önce verdiğiniz onayı dilediğiniz zaman geri çekme.
Veri Koruma Otoritesi'ne şikayet hakkı: Verilerinizin işlenme şekline itirazınız varsa ülkenizdeki yetkili otoriteye (Türkiye'de KVKK Kurumu, AB ülkelerinde ilgili veri koruma otoritesi) şikayet hakkınız bulunmaktadır.

Bu haklarınızı kullanmak için aşağıdaki iletişim adresinden bize ulaşabilirsiniz. Talebinizi aldıktan sonra en geç 30 gün içinde yanıt veririz. GDPR Madde 12(3) gereği, karmaşık veya çok sayıda talep durumunda bu süre 60 gün daha uzatılabilir (toplamda 90 güne kadar); bu durumda size önceden bildirilir.

GDPR yasal dayanağı

Verilerinizi GDPR Madde 6 kapsamında aşağıdaki yasal dayanaklarla işleriz:

Onay (Consent): Sesli işlem özelliği gibi isteğe bağlı işlemler — kullanmaya başlamanız onay sayılır, dilediğiniz zaman geri çekebilirsiniz.
Sözleşmenin yerine getirilmesi (Performance of contract): Hesap oluşturduğunuzda ve hizmeti kullanırken — uygulamanın işlemesi için zorunlu işleme.
Yasal yükümlülük (Legal obligation): Yasanın gerektirdiği durumlar (mahkeme kararı vb.).
Meşru menfaat (Legitimate interest): Hizmet güvenliği, hata düzeltme ve uygulamanın kötüye kullanımının önlenmesi gibi temel teknik amaçlar.

8. Çocukların gizliliği

Cepte Kalan 13 yaşın altındaki çocuklar için tasarlanmamıştır ve bilerek bu yaş altındaki kullanıcılardan veri toplamayız. Avrupa Birliği üye devletlerinde GDPR Madde 8 kapsamında bu yaş sınırı 16'ya kadar çıkabilir; bulunduğunuz ülkenin yerel mevzuatı geçerlidir.

Bu yaşın altında bir kullanıcının veri girdiğini fark edersek ilgili hesabı ve verileri derhal sileriz.

Bir ebeveyn veya yasal vasi olarak çocuğunuzun uygulamayı kullandığını fark ederseniz, lütfen aşağıdaki iletişim adresinden bize hemen ulaşın — verilerin silinmesi için gereken işlemleri en kısa sürede yaparız.

9. Veri güvenliği

Cihazınızdaki veriler işletim sisteminin standart koruma mekanizmaları altındadır.
Sunucularımıza giden tüm veri şifreli (HTTPS/TLS) olarak iletilir.
Firebase güvenlik kuralları, kimlik doğrulama yapılmadan kişisel verilere erişimi engeller.

Hiçbir sistem %100 güvenli değildir. Olağandışı bir veri olayı durumunda GDPR Madde 33 gereği ilgili denetim otoritesine 72 saat içinde, etkilenen kullanıcılara ise gecikmeksizin bildirim yapılır.

10. Uluslararası veri transferleri

Kullandığımız Google servisleri (Firebase Authentication, Cloud Functions, Firestore, Gemini API) verilerinizi Avrupa Birliği veya Amerika Birleşik Devletleri'ndeki sunucularda işleyebilir.

AB / Birleşik Krallık kullanıcıları için: Bu transferler Avrupa Komisyonu tarafından onaylanmış Standart Sözleşme Maddeleri (Standard Contractual Clauses — SCCs) çerçevesinde yapılır. Google, GDPR'ye uygunluk taahhütlerini kendi Veri İşleme Sözleşmesi'nde açıklar.
Türkiye kullanıcıları için: KVKK Madde 9 kapsamında yurt dışına veri aktarımı için açık rızanız alınır. Giriş yapmanız veya yapay zeka asistanı onay diyaloğunu kabul etmeniz, ilgili veri aktarımı için açık rıza niteliğindedir. Verileriniz, Google'ın güvenlik standartlarıyla korunur. Rızanızı dilediğiniz zaman geri çekebilirsiniz (hesabınızı silerek veya ilgili özelliği kullanmayı bırakarak).

Hiçbir veri "veri brokerlarına", reklam ağlarına veya pazarlama firmalarına aktarılmaz.

11. CCPA — California sakinleri için ek haklar

California Consumer Privacy Act (CCPA) ve California Privacy Rights Act (CPRA) kapsamında, California eyaleti sakinlerinin aşağıdaki ek hakları vardır:

Bilgilendirilme hakkı (Right to Notice): Hangi kişisel veri kategorilerinin toplandığı ve hangi amaçlarla kullanıldığı hakkında bilgi alma.
Erişim ve bilgi alma hakkı (Right to Know): Son 12 ay içinde toplanan kişisel veriler, veri kaynakları, toplama amacı ve veri paylaşılan üçüncü taraflar hakkında bilgi talep etme.
Silme hakkı (Right to Delete): Son 12 ay içinde toplanan kişisel verilerinizin silinmesini talep etme.
Düzeltme hakkı (Right to Correct): Hatalı kişisel verilerinizin düzeltilmesini talep etme.
Kişisel verilerin satışına ve paylaşılmasına itiraz hakkı (Right to Opt-Out of Sale/Sharing): Verilerinizin üçüncü taraflara satılmasına veya davranışsal reklamcılık amacıyla paylaşılmasına itiraz etme. Önemli: Cepte Kalan kişisel verileri hiçbir koşulda satmaz veya paylaşmaz, dolayısıyla bu haktan otomatik olarak yararlanırsınız.
Hassas kişisel verilerin kullanımını sınırlama hakkı (Right to Limit Use of SPI): CPRA kapsamında finansal hesap bilgileri hassas kişisel veri sayılır. Cepte Kalan bu verileri yalnızca hizmet sunmak amacıyla kullanır ve üçüncü taraflarla paylaşmaz.
Ayrımcılığa uğramama hakkı (Right to Non-Discrimination): CCPA/CPRA haklarınızı kullandığınız için size ayrımcılık yapılmaz; hizmet sunumumuz, fiyatlandırmamız veya kalitesinde bir değişiklik olmaz.

CCPA haklarınızı kullanmak için aşağıdaki iletişim adresinden bize ulaşabilirsiniz. Kimliğinizi doğruladıktan sonra 45 gün içinde ücretsiz olarak yanıt verilir; gerekli olduğunda bu süre 45 gün daha uzatılabilir (size önceden bildirilir).

12. Politika değişiklikleri

Bu politikada değişiklik yapabiliriz. Önemli değişikliklerde:

Bu sayfanın "Son güncelleme" tarihini güncelleriz.
Önemli değişikliklerde uygulama içinde veya e-posta ile bildirim gönderebiliriz.

Politikayı kontrol etmek sizin sorumluluğunuzdadır. Değişikliklerden sonra uygulamayı kullanmaya devam etmeniz, güncellenmiş politikayı kabul ettiğiniz anlamına gelir.

13. İletişim

Bu politika veya verileriniz hakkında sorularınız için:

E-posta: pocketleft.support@gmail.com

Talebinizi aldığımızda en geç 30 gün içinde size geri dönüş yaparız.

Kısa Özet (TL;DR)

✅ Topladıklarımız: Cihazınızdaki finansal kayıtlar (lokal kalır), giriş yaparsanız Google hesap bilgileri (e-posta, ad, fotoğraf bağlantısı).

✅ Kullanım amacı: Kişisel finans takibi, isteğe bağlı sesli işlem, yapay zeka finansal asistan, hesap doğrulama.

✅ Paylaştıklarımız: Yalnızca Google servisleri (Firebase, Gemini) ile ve sadece teknik gereklilik için. Yapay zeka asistanı yalnızca anonim finansal özetler gönderir; açıklamalar, IBAN, isim gibi kişisel bilgiler kesinlikle gönderilmez.

❌ Paylaşmadıklarımız: Reklamcılar, veri brokerları, pazarlama firmaları, sosyal medya — hiçbiriyle paylaşmıyoruz.

❌ Yapmadıklarımız: Reklam göstermiyoruz, kullanım davranışı izlemiyoruz, takip/analitik SDK kullanmıyoruz. Crashlytics ile yalnızca anonim çökme raporları toplanır (kişisel veri içermez).

🔒 Güvenlik: HTTPS/TLS şifreleme, Firebase güvenlik kuralları, şifrenizi görmüyoruz.

🗑️ Silme: Ayarlar sayfasından "Tüm Kayıtları Sıfırla" veya giriş yapmışsanız "Hesabı Sil" ile her şeyi kalıcı olarak silebilirsiniz.

📧 İletişim: pocketleft.support@gmail.com

PocketLeft — Privacy Policy

Effective date: May 1, 2026 · Last updated: May 24, 2026

This privacy policy explains what data is processed when you use the PocketLeft mobile application (hereinafter the "App"), how it is stored, and what your rights are. By using the App, you are deemed to have accepted this policy.

1. What information do we collect?

PocketLeft is an app that helps you track your personal finances. As much as possible, your data stays on your device.

a) Data stored locally on your device

The following data is kept only in your phone's local storage and is not sent to our servers:

Your income and expense records
Your recurring (auto-repeating) transactions
Your investment records (gold, foreign currency)
The budgets and savings goals you create
Credit card limit and balance information
Custom category names
Your profile name and optional profile photo
In-app notification history
AI financial assistant conversation history

This data is lost when you change devices or uninstall the app.

b) Account data (if you sign in)

For some features (voice transactions and future premium features), we may ask you to sign in with Google. When you sign in:

Your Google account information (email address, name, profile photo URL, unique identifier) is collected by Firebase Authentication.
We do not see or store your password — Google handles authentication entirely.

You can use the App without signing in; in that case, the above information is not collected.

c) Voice transaction feature

If you use the voice transaction feature:

Your speech is converted to text on your device (Google's speech_to_text library).
This text (not the audio file) is sent through our server to the Google Gemini API for interpretation, and the result is returned to your device.
The voice transcript is not stored — it is processed for interpretation and immediately discarded.
You must be signed in to use this feature.

d) Crash reports (Crashlytics)

The App uses Firebase Crashlytics to improve stability. When the app closes unexpectedly, the following anonymous technical data is automatically collected:

Stack trace at the time of the crash
Device model, operating system version
App version

This data does not directly reveal your identity; however, pseudonymous identifiers generated by Firebase (Firebase Installation ID) may be used for technical purposes. Your financial records, account details, or personal notes are not sent to Crashlytics. Crashlytics is active only in release builds; it is disabled during development. You can disable this feature at any time from Settings > Security > "Crash reports" toggle.

e) Other automatic technical data

Apart from Crashlytics, PocketLeft does not collect usage analytics, advertising tracking, or any other telemetry data on its own.

If you sign in with Google, Firebase Authentication may process minimal technical information (approximate IP, device type) for security purposes during authentication. This processing is governed by Google's own privacy policy (see the link in Section 3).

2. Permissions

The App may request the following permissions. All are optional; if you decline, the related feature will not work, but the rest of the App remains usable.

Permission	Used for
Notifications	Budget and savings goal alerts (no marketing notifications)
Microphone	Voice transaction entry
Internet	Market rates and optional sign-in
Storage	Profile photo selection

3. Third-party services

We use the following Google services. Each service's privacy policy is linked:

Firebase Authentication — for Google Sign-In
Policy: https://firebase.google.com/support/privacy
Firebase Cloud Functions — for voice transaction processing
Policy: https://firebase.google.com/support/privacy
Firebase Cloud Firestore — to store current gold and foreign currency rates (your personal data is not stored in Firestore)
Policy: https://firebase.google.com/support/privacy
Google Gemini API — to interpret voice transaction text (called only via our server)
Policy: https://ai.google.dev/gemini-api/terms
Google Sign-In — for account authentication
Policy: https://policies.google.com/privacy

We also use a third-party financial data provider for current market data. No user information is sent to this service; only currency rates are fetched through our server.

Firebase Crashlytics — for crash reports (anonymous technical data; does not contain personal information)
Policy: https://firebase.google.com/support/privacy

We do not use third-party SDKs for tracking or telemetry purposes, such as advertising networks (AdMob, Meta Audience, etc.) or user behavior analytics (Google Analytics, Firebase Analytics, Mixpanel, etc.).

4. AI Financial Assistant

The App includes an optional AI Financial Assistant feature that analyzes your financial data to provide general informational insights. This feature uses the Google Gemini API and only operates when you actively use it; it does not collect or send data in the background.

a) Usage requirements

You must be signed in via Firebase Authentication (Google or Apple account) to use this feature.
When you use the feature for the first time, a 3-point consent dialog is presented explaining what data will be shared and the limitations. The feature cannot be used without giving consent.
The assistant does not provide investment, tax, or legal advice — it only offers general financial information.

b) Data sent to Gemini API (whitelist)

The assistant sends the following data to the Google Gemini API solely for analysis purposes:

Transaction data: amount, category, payment method (cash/credit card), expense type (personal/business), date
Investment data: asset type, quantity, purchase price, date
Account summaries: checking balance, credit card debt, credit card limit
Pre-calculated summaries: monthly income/expense averages, category breakdowns

c) Data never sent (blacklist)

The following data is never sent to the Gemini API or any other third party:

Transaction descriptions and notes (may contain personal information)
Photos, files, attachments
Bank account numbers, IBAN
Email addresses, phone numbers, user names
Any personally identifiable information (PII)

d) Data storage and privacy

Conversations with the assistant are stored only on your device (SharedPreferences); they are not stored on our servers.
Under the Google Gemini API Terms of Service, the data sent is not used for model training.
Data is sent only when you actively use the assistant — there is no passive or automatic data collection.

5. We do not share your data with anyone

We do not sell, rent, or share the financial data you process in the App (your transactions, budgets, goals) with any third party. This data remains with you and on your device.

The only exception: if a legal obligation arises (court order, legal investigation), we may provide the relevant authorities with the information required by law.

6. Data retention

Data on your device: Until you delete it or uninstall the app.
Your Google account information: Until you delete your account (see below).
Voice transaction text: Deleted immediately after processing; not stored anywhere.
AI assistant conversations: Stored only on your device; until you delete them or uninstall the app.

7. Your rights and data deletion

You have two ways to delete your data:

a) Delete local data
The "Reset All Records" button in the Settings page permanently deletes all app data on your device. (This option is shown if you have not signed in.)

b) Delete your account
If you have signed in, the "Delete Account" button in the Settings page:

Permanently deletes your user record from Firebase,
Deletes all data on your device,
Cannot be undone.

If you decide to sign in again, the App will treat you as a new user.

Other rights (under KVKK and GDPR)

Right to access: See the data we process about you.
Right to information: Learn how and why your data is processed.
Right to rectification: Correct any inaccurate information about you.
Right to erasure (Right to be Forgotten): Request the permanent deletion of your data.
Right to restriction: Limit how your data is used in certain situations.
Right to data portability: Request your data in a structured, machine-readable format (e.g., JSON).
Right to object: Object to certain types of processing.
Right to withdraw consent: Withdraw consent you previously gave at any time.
Right to lodge a complaint with a Data Protection Authority: If you object to how your data is processed, you have the right to file a complaint with the relevant authority in your country (the Personal Data Protection Authority in Turkey, or the relevant data protection authority in EU countries).

To exercise these rights, you can reach us at the contact address below. We will respond to your request within 30 days at the latest. Under GDPR Article 12(3), this period may be extended by 60 additional days for complex or multiple requests (up to 90 days total); you will be notified in advance.

GDPR legal basis

We process your data under GDPR Article 6 on the following legal bases:

Consent: Optional features such as the voice transaction feature — using them is considered consent, which you may withdraw at any time.
Performance of a contract: When you create an account and use the service — necessary processing for the App to function.
Legal obligation: Situations required by law (court orders, etc.).
Legitimate interest: Basic technical purposes such as service security, error correction, and prevention of misuse of the App.

8. Children's privacy

PocketLeft is not designed for children under the age of 13, and we knowingly do not collect data from users under this age. In EU member states, this age limit may be up to 16 under GDPR Article 8; your local jurisdiction's legislation applies.

If we discover that a user under this age has entered data, we will promptly delete the relevant account and data.

If you are a parent or legal guardian and become aware that your child is using the App, please contact us immediately at the address below — we will take the necessary steps to delete the data as soon as possible.

9. Data security

Data on your device is protected by your operating system's standard security mechanisms.
All data sent to our servers is transmitted in encrypted form (HTTPS/TLS).
Firebase security rules prevent access to personal data without authentication.

No system is 100% secure. In the event of an unusual data incident, the relevant supervisory authority will be notified within 72 hours as required by GDPR Article 33, and affected users will be notified without undue delay.

10. International data transfers

The Google services we use (Firebase Authentication, Cloud Functions, Firestore, Gemini API) may process your data on servers located in the European Union or the United States.

For EU / UK users: These transfers are performed under the Standard Contractual Clauses (SCCs) approved by the European Commission. Google describes its GDPR compliance commitments in its own Data Processing Agreement.
For Turkish users: Under KVKK Article 9, your explicit consent is obtained for cross-border data transfers. Signing in or accepting the AI assistant consent dialog constitutes explicit consent for the respective data transfer. Your data is protected by Google's security standards. You may withdraw your consent at any time (by deleting your account or ceasing to use the relevant feature).

No data is transferred to "data brokers", advertising networks, or marketing firms.

11. CCPA — Additional rights for California residents

Under the California Consumer Privacy Act (CCPA) and the California Privacy Rights Act (CPRA), residents of the state of California have the following additional rights:

Right to Notice: To be informed about which categories of personal data are being collected and the purposes for which they are used.
Right to Know: To request information about personal data collected in the past 12 months, the sources of the data, the purposes of collection, and the third parties with whom data is shared.
Right to Delete: To request the deletion of personal data collected in the past 12 months.
Right to Correct: To request correction of inaccurate personal data.
Right to Opt-Out of Sale/Sharing: To object to the sale of your personal data to third parties or the sharing of your data for behavioral advertising purposes. Important: PocketLeft does not sell or share personal data under any circumstances, so you automatically benefit from this right.
Right to Limit Use of Sensitive Personal Information (SPI): Under CPRA, financial account information is considered sensitive personal information. PocketLeft uses this data only to provide the service and does not share it with third parties.
Right to Non-Discrimination: You will not be discriminated against for exercising your CCPA/CPRA rights; there will be no change in our service offering, pricing, or quality.

To exercise your CCPA rights, you can contact us at the address below. After verifying your identity, you will receive a free response within 45 days; if reasonably necessary, this period may be extended by another 45 days (with prior notice).

12. Changes to this policy

We may modify this policy from time to time. For significant changes:

We will update the "Last updated" date on this page.
For significant changes, we may send notifications in the App or by email.

It is your responsibility to review the policy. Continued use of the App after changes means you accept the updated policy.

13. Contact

For any questions about this policy or your data:

Email: pocketleft.support@gmail.com

We will respond to your request within 30 days at the latest.

Quick Summary (TL;DR)

✅ What we collect: Financial records on your device (kept local), and Google account information if you sign in (email, name, photo URL).

✅ Purpose of use: Personal finance tracking, optional voice transactions, AI financial assistant, account authentication.

✅ What we share: Only with Google services (Firebase, Gemini), and only for technical necessity. The AI assistant sends only anonymized financial summaries; personal details such as descriptions, IBAN, and names are never sent.

❌ What we do not share: With advertisers, data brokers, marketing companies, social media — with no one.

❌ What we do not do: No ads, no usage tracking, no tracking/analytics SDKs. Only anonymous crash reports are collected via Crashlytics (no personal data).

🔒 Security: HTTPS/TLS encryption, Firebase security rules, we do not see your password.

🗑️ Deletion: From the Settings page, you can permanently delete everything via "Reset All Records" or, if signed in, "Delete Account".

📧 Contact: pocketleft.support@gmail.com