Privacy Policy & KVKK Aydınlatma Metni
Last Updated / Son Güncelleme: May 2026
1. Data Controller
The data controller responsible for your personal data is the operator of Growino (“we”, “us”, “our”). For data-protection enquiries, contact: privacy@growino.com.
2. What Data We Collect
We collect data in the following categories:
| Account data | Email address, name, and profile photo provided by Google OAuth at sign-in. |
| Google Search Console | Query performance data (clicks, impressions, position, CTR) for the Search Console property you connect. Read-only. |
| Google Analytics 4 | Session, event, and conversion data for the GA4 property you connect. Read-only. |
| Google Ads | Campaign, ad group, keyword, and spend data for the Ads account you link. Read-only. |
| Profile & preferences | Brand terms, active property selection, BYOK AI keys (AES-256-GCM encrypted at rest), and tier/plan details. |
| Usage data | Pages visited within the app, report generation events, and AI analysis requests — used solely for product improvement and rate limiting. |
3. Google OAuth Scopes We Request
We request only the minimum scopes required. All access is read-only unless explicitly noted.
| openid / profile / email | Authentication and account identification. |
| webmasters.readonly | Read Search Console site and query performance data. Read-only. |
| analytics.readonly | Read Google Analytics 4 property data (sessions, events, conversions). Read-only. |
| analytics.manage.users.readonly | Read the list of GA4 properties and accounts linked to the authenticated Google account, used to populate the property selector. No user management actions are performed. Read-only. |
| adwords (https://www.googleapis.com/auth/adwords) | Read Google Ads campaign, ad group, keyword, and spend data. Read-only — no write, bidding, or budget changes are made. |
We do not request write, manage, or admin scopes for any Google service. Tokens are stored encrypted and are never shared with third parties for purposes other than making the authorised API calls on your behalf.
4. Legal Basis for Processing (GDPR Art. 6)
| Contract performance (Art. 6.1.b) | Processing your Google data is necessary to deliver the analytics service you signed up for. |
| Legitimate interests (Art. 6.1.f) | Usage analytics and security logging to maintain service reliability. |
| Consent (Art. 6.1.a) | Marketing communications. You may withdraw at any time via your account settings. |
5. How We Use Your Data
- Display your own SEO, analytics, and advertising data within the Growino dashboard.
- Generate AI-powered insights using your connected account data as input to language model providers (see §7).
- Enforce plan quotas, rate limits, and tier-based feature access.
- Send transactional emails (account confirmations, password resets).
- Send marketing communications only where you have given explicit consent.
6. Data Retention
| Report cache | Rolling 30 days, then automatically purged. |
| Google OAuth tokens | Retained while your account is active; deleted within 30 days of account deletion. |
| AI analysis cache | 90 days from generation. |
| Usage logs | 90 days, then aggregated and anonymised. |
| Backups | Encrypted backups retained for 30 days. |
7. Sub-processors and Third Parties
| Supabase | Database and authentication hosting (EU region). |
| OpenAI / Anthropic / other LLM providers | AI insight generation. Data sent is limited to anonymised keyword/query strings and performance metrics — no PII. You may supply your own API key (BYOK) to control the provider. |
| Google LLC | OAuth identity provider and API data source. |
| Vercel | Application hosting (edge functions, CDN). |
We do not sell personal data to any third party. We do not use your data to train AI models.
8. Your Rights Under GDPR
If you are located in the EEA or UK, you have the right to:
- Access the personal data we hold about you.
- Rectify inaccurate data.
- Erasure (“right to be forgotten”) — submit a request to privacy@growino.com.
- Restrict or object to processing.
- Data portability — export your data in machine-readable format.
- Withdraw consent for marketing at any time.
- Lodge a complaint with your national supervisory authority.
To exercise any right, email privacy@growino.com. We respond within 30 days.
9. Cookies
We use session cookies for authentication and a single analytics cookie (if you consent) for aggregate product usage metrics. No advertising or cross-site tracking cookies are set. You can manage cookie preferences via the banner shown on first visit.
10. Security
All data is encrypted in transit (TLS 1.2+) and at rest (AES-256-GCM). API credentials and BYOK keys are encrypted before storage. We conduct regular security reviews and follow responsible disclosure practices.
11. Changes to This Policy
We will notify registered users by email at least 14 days before material changes take effect. Continued use after that date constitutes acceptance.
KVKK Madde 10 — Kişisel Verilerin Korunması Kanunu Aydınlatma Metni
Bu aydınlatma metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) Madde 10 kapsamında Growino platformunu kullanan gerçek kişilere yönelik hazırlanmıştır.
1. Veri Sorumlusu
Kişisel verileriniz, Growino platformunun işleticisi sıfatıyla veri sorumlusu tarafından işlenmektedir. İletişim: privacy@growino.com.
2. İşlenen Kişisel Veriler ve İşleme Amaçları
| Ad, soyad, e-posta, profil fotoğrafı | Google OAuth ile kimlik doğrulama ve hesap oluşturma. |
| Google Search Console verileri | Bağladığınız mülke ait arama sorgusu, tıklama, gösterim, sıralama verileri. Yalnızca okuma amaçlı. |
| Google Analytics 4 verileri | Bağladığınız mülke ait oturum, etkinlik, dönüşüm verileri. Yalnızca okuma amaçlı. |
| Google Ads verileri | Bağladığınız hesaba ait kampanya, reklam grubu, anahtar kelime ve harcama verileri. Yalnızca okuma amaçlı. |
| Platform kullanım verileri | Ziyaret edilen raporlar, yapay zeka analiz talepleri — ürün geliştirme ve hız sınırı yönetimi amacıyla. |
3. Kişisel Veri İşlemenin Hukuki Dayanakları (KVKK Madde 5)
| Sözleşmenin ifası (Md. 5/2-c) | Google hesabı verilerinin işlenmesi, kayıt olduğunuz analiz hizmetinin sunulması için zorunludur. |
| Meşru menfaat (Md. 5/2-f) | Platform güvenliği, kullanım istatistikleri ve hizmet sürekliliği. |
| Açık rıza (Md. 5/1) | Pazarlama amaçlı elektronik ileti gönderimi. Rızanızı her zaman geri alabilirsiniz. |
4. Kişisel Verilerin Aktarılması
Kişisel verileriniz; hizmetin sunulması için gereken teknik altyapıyı sağlayan aşağıdaki yurt dışı veri işleyenlerine KVKK Madde 9 kapsamında aktarılmaktadır. Söz konusu aktarımlar, standart sözleşme hükümleri veya yeterli koruma güvencesi bulunan ülkelere yapılmaktadır.
| Supabase Inc. (ABD/AB) | Veritabanı barındırma — AB bölgesi (Frankfurt). |
| Vercel Inc. (ABD) | Uygulama barındırma. |
| Google LLC (ABD) | OAuth kimlik doğrulama ve API veri kaynağı. |
| Yapay zeka sağlayıcıları (BYOK seçiminize göre) | Yapay zeka içgörü üretimi. Yalnızca anonimleştirilmiş anahtar kelime/metrik verisi aktarılır; kişisel veri gönderilmez. |
5. Kişisel Verilerin Saklanma Süreleri
| Google OAuth erişim token'ları | Hesap aktif olduğu sürece; hesap silinmesinden itibaren 30 gün. |
| Rapor önbelleği | 30 gün, ardından otomatik silinir. |
| Pazarlama rızası kaydı | Rıza verildiği tarihten itibaren 3 yıl (yasal yükümlülük). |
| Kullanım günlükleri | 90 gün, ardından anonimleştirilir. |
| Yedekler | 30 gün şifreli yedek. |
6. İlgili Kişi Hakları (KVKK Madde 11)
KVKK kapsamında aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme.
- İşlenmişse buna ilişkin bilgi talep etme.
- İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme.
- Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme.
- Eksik veya yanlış işlenmişse düzeltilmesini isteme.
- Verilerin silinmesini veya yok edilmesini isteme (KVKK Md. 7).
- Otomatik sistemler aracılığıyla aleyhinize çıkan sonuçlara itiraz etme.
- Kanuna aykırı işleme nedeniyle uğradığınız zararın giderilmesini talep etme.
Haklarınızı kullanmak için privacy@growino.com adresine e-posta gönderebilirsiniz. Talepler en geç 30 gün içinde yanıtlanır. Başvurunuzun reddedilmesi veya yanıtsız kalması durumunda Kişisel Verileri Koruma Kurumu’na (“KVKK Kurumu”) şikâyette bulunma hakkınız saklıdır.