Privacy Policy & KVKK Aydınlatma Metni

Last Updated / Son Güncelleme: May 2026

Growino is an SEO and SEM analytics platform. We connect to your Google accounts (Search Console, Google Analytics 4, Google Ads) solely to display your own marketing data back to you. We do not sell, broker, or share your data with advertisers.

1. Data Controller

The data controller responsible for your personal data is the operator of Growino (“we”, “us”, “our”). For data-protection enquiries, contact: privacy@growino.com.

2. What Data We Collect

We collect data in the following categories:

Account dataEmail address, name, and profile photo provided by Google OAuth at sign-in.
Google Search ConsoleQuery performance data (clicks, impressions, position, CTR) for the Search Console property you connect. Read-only.
Google Analytics 4Session, event, and conversion data for the GA4 property you connect. Read-only.
Google AdsCampaign, ad group, keyword, and spend data for the Ads account you link. Read-only.
Profile & preferencesBrand terms, active property selection, BYOK AI keys (AES-256-GCM encrypted at rest), and tier/plan details.
Usage dataPages visited within the app, report generation events, and AI analysis requests — used solely for product improvement and rate limiting.

3. Google OAuth Scopes We Request

We request only the minimum scopes required. All access is read-only unless explicitly noted.

openid / profile / emailAuthentication and account identification.
webmasters.readonlyRead Search Console site and query performance data. Read-only.
analytics.readonlyRead Google Analytics 4 property data (sessions, events, conversions). Read-only.
analytics.manage.users.readonlyRead the list of GA4 properties and accounts linked to the authenticated Google account, used to populate the property selector. No user management actions are performed. Read-only.
adwords (https://www.googleapis.com/auth/adwords)Read Google Ads campaign, ad group, keyword, and spend data. Read-only — no write, bidding, or budget changes are made.

We do not request write, manage, or admin scopes for any Google service. Tokens are stored encrypted and are never shared with third parties for purposes other than making the authorised API calls on your behalf.

4. Legal Basis for Processing (GDPR Art. 6)

Contract performance (Art. 6.1.b)Processing your Google data is necessary to deliver the analytics service you signed up for.
Legitimate interests (Art. 6.1.f)Usage analytics and security logging to maintain service reliability.
Consent (Art. 6.1.a)Marketing communications. You may withdraw at any time via your account settings.

5. How We Use Your Data

  • Display your own SEO, analytics, and advertising data within the Growino dashboard.
  • Generate AI-powered insights using your connected account data as input to language model providers (see §7).
  • Enforce plan quotas, rate limits, and tier-based feature access.
  • Send transactional emails (account confirmations, password resets).
  • Send marketing communications only where you have given explicit consent.

6. Data Retention

Report cacheRolling 30 days, then automatically purged.
Google OAuth tokensRetained while your account is active; deleted within 30 days of account deletion.
AI analysis cache90 days from generation.
Usage logs90 days, then aggregated and anonymised.
BackupsEncrypted backups retained for 30 days.

7. Sub-processors and Third Parties

SupabaseDatabase and authentication hosting (EU region).
OpenAI / Anthropic / other LLM providersAI insight generation. Data sent is limited to anonymised keyword/query strings and performance metrics — no PII. You may supply your own API key (BYOK) to control the provider.
Google LLCOAuth identity provider and API data source.
VercelApplication hosting (edge functions, CDN).

We do not sell personal data to any third party. We do not use your data to train AI models.

8. Your Rights Under GDPR

If you are located in the EEA or UK, you have the right to:

  • Access the personal data we hold about you.
  • Rectify inaccurate data.
  • Erasure (“right to be forgotten”) — submit a request to privacy@growino.com.
  • Restrict or object to processing.
  • Data portability — export your data in machine-readable format.
  • Withdraw consent for marketing at any time.
  • Lodge a complaint with your national supervisory authority.

To exercise any right, email privacy@growino.com. We respond within 30 days.

9. Cookies

We use session cookies for authentication and a single analytics cookie (if you consent) for aggregate product usage metrics. No advertising or cross-site tracking cookies are set. You can manage cookie preferences via the banner shown on first visit.

10. Security

All data is encrypted in transit (TLS 1.2+) and at rest (AES-256-GCM). API credentials and BYOK keys are encrypted before storage. We conduct regular security reviews and follow responsible disclosure practices.

11. Changes to This Policy

We will notify registered users by email at least 14 days before material changes take effect. Continued use after that date constitutes acceptance.

KVKK Aydınlatma Metni — Türkçe

KVKK Madde 10 — Kişisel Verilerin Korunması Kanunu Aydınlatma Metni

Bu aydınlatma metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) Madde 10 kapsamında Growino platformunu kullanan gerçek kişilere yönelik hazırlanmıştır.

1. Veri Sorumlusu

Kişisel verileriniz, Growino platformunun işleticisi sıfatıyla veri sorumlusu tarafından işlenmektedir. İletişim: privacy@growino.com.

2. İşlenen Kişisel Veriler ve İşleme Amaçları

Ad, soyad, e-posta, profil fotoğrafıGoogle OAuth ile kimlik doğrulama ve hesap oluşturma.
Google Search Console verileriBağladığınız mülke ait arama sorgusu, tıklama, gösterim, sıralama verileri. Yalnızca okuma amaçlı.
Google Analytics 4 verileriBağladığınız mülke ait oturum, etkinlik, dönüşüm verileri. Yalnızca okuma amaçlı.
Google Ads verileriBağladığınız hesaba ait kampanya, reklam grubu, anahtar kelime ve harcama verileri. Yalnızca okuma amaçlı.
Platform kullanım verileriZiyaret edilen raporlar, yapay zeka analiz talepleri — ürün geliştirme ve hız sınırı yönetimi amacıyla.

3. Kişisel Veri İşlemenin Hukuki Dayanakları (KVKK Madde 5)

Sözleşmenin ifası (Md. 5/2-c)Google hesabı verilerinin işlenmesi, kayıt olduğunuz analiz hizmetinin sunulması için zorunludur.
Meşru menfaat (Md. 5/2-f)Platform güvenliği, kullanım istatistikleri ve hizmet sürekliliği.
Açık rıza (Md. 5/1)Pazarlama amaçlı elektronik ileti gönderimi. Rızanızı her zaman geri alabilirsiniz.

4. Kişisel Verilerin Aktarılması

Kişisel verileriniz; hizmetin sunulması için gereken teknik altyapıyı sağlayan aşağıdaki yurt dışı veri işleyenlerine KVKK Madde 9 kapsamında aktarılmaktadır. Söz konusu aktarımlar, standart sözleşme hükümleri veya yeterli koruma güvencesi bulunan ülkelere yapılmaktadır.

Supabase Inc. (ABD/AB)Veritabanı barındırma — AB bölgesi (Frankfurt).
Vercel Inc. (ABD)Uygulama barındırma.
Google LLC (ABD)OAuth kimlik doğrulama ve API veri kaynağı.
Yapay zeka sağlayıcıları (BYOK seçiminize göre)Yapay zeka içgörü üretimi. Yalnızca anonimleştirilmiş anahtar kelime/metrik verisi aktarılır; kişisel veri gönderilmez.

5. Kişisel Verilerin Saklanma Süreleri

Google OAuth erişim token'larıHesap aktif olduğu sürece; hesap silinmesinden itibaren 30 gün.
Rapor önbelleği30 gün, ardından otomatik silinir.
Pazarlama rızası kaydıRıza verildiği tarihten itibaren 3 yıl (yasal yükümlülük).
Kullanım günlükleri90 gün, ardından anonimleştirilir.
Yedekler30 gün şifreli yedek.

6. İlgili Kişi Hakları (KVKK Madde 11)

KVKK kapsamında aşağıdaki haklara sahipsiniz:

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme.
  • İşlenmişse buna ilişkin bilgi talep etme.
  • İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme.
  • Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme.
  • Eksik veya yanlış işlenmişse düzeltilmesini isteme.
  • Verilerin silinmesini veya yok edilmesini isteme (KVKK Md. 7).
  • Otomatik sistemler aracılığıyla aleyhinize çıkan sonuçlara itiraz etme.
  • Kanuna aykırı işleme nedeniyle uğradığınız zararın giderilmesini talep etme.

Haklarınızı kullanmak için privacy@growino.com adresine e-posta gönderebilirsiniz. Talepler en geç 30 gün içinde yanıtlanır. Başvurunuzun reddedilmesi veya yanıtsız kalması durumunda Kişisel Verileri Koruma Kurumu’na (“KVKK Kurumu”) şikâyette bulunma hakkınız saklıdır.