← Ana sayfa

Gizlilik Politikası ve KVKK Aydınlatma Metni

Bu Politika, Lumy Charge mobil uygulaması, lumycharge.app web sitesi ve bağlantılı API hizmetleri kapsamında kişisel verilerin nasıl toplandığını, kullanıldığını, kimlerle paylaşıldığını ve korunduğunu açıklar.

Son güncelleme: 12 Haziran 2026 · Sürüm 1.0.0

Türkiye'de mukim kullanıcılar için bu belge, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") Madde 10 kapsamında Aydınlatma Metni niteliğindedir. KVKK bakımından Türkçe metin esas alınır.

01 · Veri sorumlusu 02 · Kapsam 03 · Kimler kullanabilir 04 · İşlediğimiz veriler 05 · Amaçlar ve hukuki sebepler 06 · Kimlerle paylaşıyoruz 07 · Yurt dışına aktarım 08 · Saklama süreleri 09 · Haklarınız 10 · Konum ve bildirim 11 · Çerezler 12 · Güvenlik 13 · Veri doğruluğu 14 · Değişiklikler 15 · İletişim

01Veri sorumlusu

KVKK Madde 3 ve GDPR Madde 4 kapsamında veri sorumlusu:

Veri sorumlusu Emre İspir (şahıs şirketi) — marka: Lumy Charge
Vergi no: 4810858373
Adres: Cumhuriyet Mah. Halis Sokak No:7, 46300 Elbistan/Kahramanmaraş, Türkiye
E-posta: [email protected]

KVKK, GDPR/UK GDPR veya benzeri veri koruma haklarınız için yukarıdaki e-posta adresinden bize ulaşabilirsiniz.

02Kapsam

Bu Politika aşağıdaki kanalları kapsar:

  • iOS ve Android için Lumy Charge mobil uygulaması.
  • lumycharge.app web sitesi ve yasal/destek sayfaları.
  • Lumy Charge API hizmetleri.
  • Müşteri destek yazışmaları.

Bu Politika şunları kapsamaz: Apple App Store veya Google Play'in kendi ödeme/hesap işlemleri; Apple, Google, harita uygulamaları, şarj operatörleri veya uygulama içinden açılan üçüncü taraf hizmetlerin bağımsız veri işleme faaliyetleri; üçüncü taraf istasyon, fiyat, uygunluk veya rota verisi kaynaklarının kendi veri uygulamaları.

03Kimler kullanabilir

Lumy Charge genel kullanıma yönelik bir elektrikli araç şarj istasyonu ve rota planlama uygulamasıdır. Hizmet, 13 yaş altındaki çocuklara yönelik değildir. 18 yaş altındaki kullanıcılar, yürürlükteki hukukun gerektirdiği hallerde ebeveyn veya yasal vasi onayı ile kullanmalıdır.

13 yaşından küçük bir çocuğun kişisel verisinin bize iletildiğini düşünüyorsanız [email protected] adresinden bildirebilirsiniz.

04İşlediğimiz kişisel veriler

4.1 Sizin verdiğiniz bilgiler

Hesap bilgileri. E-posta adresi, parola hash'i, ad, soyad, hesap doğrulama kodları, parola sıfırlama kodları, tercih edilen dil, e-posta doğrulama durumu.

Apple veya Google ile giriş bilgileri. Apple/Google tarafından sağlanan OAuth kimliği (sub), e-posta ve sağlayıcı tarafından paylaşıldığı ölçüde ad/soyad. Apple veya Google şifrenizi görmeyiz.

Araç ve garaj bilgileri. Seçtiğiniz elektrikli araç katalog kaydı, marka, model, varyant, batarya/menzil/şarj gücü gibi teknik özellikler, takma ad, girerseniz plaka, varsayılan araç tercihi.

Rota ve adres bilgileri. Başlangıç, varış ve ara durak metinleri, Google Place ID değerleri, koordinatlar, rota önizleme/plan girdileri, başlangıç ve hedef şarj yüzdesi, kış/sıcak/hafif-ağır yük gibi rota tercihleri, kayıtlı ev/iş/diğer adresler ve favori rota snapshot'ları.

Favoriler ve bildirim tercihleri. Favori istasyonlar, "müsait olunca bildir" tercihi ve ilgili bildirim ayarları.

Topluluk değerlendirmeleri. İstasyon check-in sonucu, soket seçimi, etiketler ve kötüye kullanımı önlemek için cihaz anahtarı veya IP tabanlı sınırlandırma verisi. Giriş yapmadan check-in yaptığınızda kullanıcı kimliği yerine cihaz/istek sinyalleri kullanılabilir.

Müşteri destek mesajları. Bize e-posta veya destek kanalıyla ilettiğiniz mesajlar ve yanıtlar.

4.2 Otomatik veya teknik olarak oluşan bilgiler

Konum verisi. İzin verirseniz cihazınızın yaklaşık veya hassas konumunu; size yakın istasyonları göstermek, "Konumum" seçeneğini kullanmak, haritayı merkeze almak, en yakın müsait istasyonu bulmak ve rota başlangıcını oluşturmak için kullanırız. Konum iznini işletim sistemi ayarlarından kapatabilirsiniz.

Harita ve arama verisi. Google Places/Routes üzerinden yapılan adres otomatik tamamlama, place locate ve rota hesaplama istekleri; arama metni, Place ID, koordinatlar ve rota noktalarını içerebilir.

Cihaz ve uygulama verisi. Cihaz modeli, işletim sistemi, uygulama sürümü, dil/locale, saat dilimi, IP adresi, user-agent, API rate-limit metrikleri, hata logları.

Oturum ve güvenlik verisi. Kısa ömürlü JWT erişim tokenları, rotasyonlu refresh token hash'leri, başarısız giriş sayısı, geçici hesap kilidi, hesap silme/oturum kapatma kayıtları.

Push tokenları. Bildirim özelliği etkinse cihaz push tokeni, platform bilgisi ve locale bilgisi.

Abonelik verisi. RevenueCat, Apple App Store veya Google Play'den gelen uygulama içi satın alma/abonelik yetkilendirme sinyali, tier bilgisi (free / premium), yenileme veya bitiş tarihi. Ödeme kartı bilgilerinizi almayız ve saklamayız; kart ve ödeme aracı bilgileri Apple/Google tarafından işlenir.

Tanılama verisi. Backend hata ve güvenlik logları, IP adresi, istek meta verisi, hata stack trace'leri, API/app sürümü ve anonim/pseudonim kullanıcı kimliği gibi hata ayıklama verileri. Sentry yalnızca backend tarafında kullanılır; mobil uygulama tarafında Sentry kapalı olacak şekilde tasarlanmıştır. Hassas içeriklerin loglanmaması için sanitization uygulanır.

Yapay zekâ rota özeti verisi. Premium akıllı rota özeti gibi özelliklerde, seyahat planını açıklamak için kalkış/varış, duraklar, şarj molası plan detayları, araç/SoC tercihleri ve rota bağlamı Anthropic Claude Haiku hizmetine gönderilebilir. Bu aktarımda ad, e-posta, telefon, plaka veya hesap kimliği gibi doğrudan kimlik bilgilerini göndermemeye çalışırız.

4.3 İstasyon ve operatör verileri hakkında

Lumy Charge; şarj istasyonu konumu, soket tipi, güç, fiyat, çalışma durumu, olanaklar ve doluluk/uptime tahminlerini kamuya açık kaynaklar, operatör kaynakları, EPDK veya benzeri resmi/açık veri platformları, Open Charge Map gibi veri kaynakları ve kullanıcı check-in sinyallerinden derleyebilir. Bu veriler kullanıcının kişisel verisi olmayabilir; ancak bir kullanıcının arama, favori, rota veya bildirim tercihiyle ilişkilendiğinde kişisel veri haline gelebilir.

4.4 Özel nitelikli kişisel veri

Lumy Charge özel nitelikli kişisel veri talep etmez. Lütfen sağlık, dini inanç, siyasi görüş, biyometrik veri veya benzeri özel nitelikli verileri destek mesajlarında, adres etiketlerinde, rota isimlerinde veya check-in etiketlerinde paylaşmayın. Bir kullanıcı bu tür bilgileri kendi isteğiyle girerse, yalnızca talep edilen hizmet fonksiyonunu sunmak, güvenlik veya hukuki yükümlülükleri yerine getirmek için gerekli olduğu ölçüde işlenebilir.

05İşleme amaçları ve hukuki sebepler

Kişisel verileri yalnızca geçerli bir hukuki sebebe dayanarak işleriz.

5.1 Hesap ve kimlik doğrulama

Hesap oluşturmak, giriş yaptırmak, e-posta doğrulamak, parola sıfırlamak ve hesap güvenliğini sağlamak. KVKK: Md. 5(2)(c) sözleşmenin kurulması/ifası; Md. 5(2)(f) meşru menfaat; hukuki yükümlülük ve hak tesisi gereken haller. GDPR: Art. 6(1)(b), (f), (c).

5.2 Harita, istasyon keşfi ve rota planlama

Yakın istasyonları göstermek, harita araması yapmak, adres/konum seçmek, rota önizlemek, şarj molası planlamak, uygunluk/uyumluluk bilgisi sunmak. KVKK: Md. 5(2)(c) sözleşmenin ifası; hassas konum ve işletim sistemi izni gereken hallerde açık rıza. GDPR: Art. 6(1)(b); gerekli hallerde 6(1)(a).

5.3 Favoriler, kayıtlı adresler, rotalar ve filtreler

Tercihlerinizi cihazlar arasında saklamak, favori listelerini göstermek, premium limitlerini uygulamak. KVKK: Md. 5(2)(c); Md. 5(2)(f). GDPR: Art. 6(1)(b), (f).

5.4 Bildirimler

"Müsait olunca bildir" gibi kullanıcının açtığı bildirimleri göndermek. KVKK: Açık rıza veya talep edilen bildirim hizmetinin ifası. GDPR: Art. 6(1)(a) veya (b). Bildirimleri uygulama veya işletim sistemi ayarlarından kapatabilirsiniz.

5.5 Abonelik ve Premium erişim

Premium yetkilerini doğrulamak, RevenueCat/App Store/Google Play sinyallerine göre tier bilgisini güncellemek. KVKK: Md. 5(2)(c). GDPR: Art. 6(1)(b).

5.6 Güvenlik ve kötüye kullanım önleme

Brute-force, scraping, spam check-in ve API kötüye kullanımını önlemek; hataları gidermek; performansı iyileştirmek. KVKK: Md. 5(2)(f); hukuki yükümlülük halinde Md. 5(2)(ç). GDPR: Art. 6(1)(f), (c).

5.7 Yapay zekâ destekli rota özeti

Premium akıllı rota planını özetlemek ve şarj molalarını anlaşılır hale getirmek. KVKK: Md. 5(2)(c), (f); yurt dışına aktarım için gerekli hallerde açık rıza veya KVKK Md. 9 mekanizmaları. GDPR: Art. 6(1)(b), (f); gerekli hallerde (a).

5.8 Hukuki uyum

Yasal taleplere yanıt vermek, hakları savunmak, uyuşmazlıkları yürütmek, saklama yükümlülüklerini yerine getirmek. KVKK: Md. 5(2)(a), (ç), (e). GDPR: Art. 6(1)(c), (f).

5.9 Pazarlama

Bu aşamada pazarlama veya ticari elektronik ileti göndermiyoruz. E-posta iletileri doğrulama, şifre sıfırlama, güvenlik, hesap ve abonelik gibi işlemlerle sınırlıdır. İleride ticari elektronik ileti gönderilecekse, gerekli olduğu ölçüde ayrı onay/açık rıza alınacak ve her iletide çıkış imkânı sunulacaktır.

06Kimlerle paylaşıyoruz

Kişisel verileri satmayız ve bağlamsal davranışsal reklam için paylaşmayız.

6.1 Veri işleyenler

Hizmeti çalıştırmak için üçüncü taraf hizmet sağlayıcılar kullanırız. Güncel liste, amaç, veri kategorisi ve bölge bilgileri için Veri İşleyenler sayfasına bakınız. Başlıca kategoriler: hosting ve veritabanı altyapısı; Google Maps Platform; Apple/Google kimlik doğrulama; RevenueCat ve Apple/Google uygulama içi satın alma; işlemsel e-posta; push bildirim altyapısı; backend hata izleme; Anthropic Claude Haiku ile AI rota özeti.

6.2 Bağımsız veri sorumluları

Apple, Google, harita uygulamaları, App Store/Google Play ve dış şarj operatörleri bazı işlemlerde bağımsız veri sorumlusu olarak hareket edebilir ve kendi gizlilik politikalarına tabidir.

6.3 Yasal ve koruyucu açıklamalar

Yürürlükteki hukuka, mahkeme kararına, yetkili makam talebine uymak; haklarımızı veya kullanıcı güvenliğini korumak; dolandırıcılık ve güvenlik sorunlarını önlemek için gerekli olduğunda veri açıklayabiliriz.

6.4 İş devri

Birleşme, devralma, varlık satışı veya yeniden yapılanma halinde kişisel veriler ilgili işlem kapsamında aktarılabilir. Gerekli olduğunda sizi bilgilendirir ve hukuken gereken rıza/onayları alırız.

07Yurt dışına aktarım

Hizmet Türkiye'den işletilebilir; ancak Supabase, Render, Google, Apple, RevenueCat, Resend, Firebase/APNs, Sentry, Anthropic ve benzeri hizmet sağlayıcıları Amerika Birleşik Devletleri, Avrupa Birliği ve diğer bölgelerde veri işleyebilir.

Türkiye kullanıcıları için yurt dışına aktarım KVKK Madde 9 ve ilgili yönetmelik kapsamında değerlendirilir. Aktarım için uygun hallerde açık rıza, standart sözleşme veya Kurul tarafından kabul edilen uygun güvenceler ya da kanunda/yönetmelikte öngörülen istisnai haller dayanak alınabilir. Güncel aktarım güvenceleri için [email protected] adresinden bilgi isteyebilirsiniz.

Yurt dışına aktarım için açık rıza gereken hallerde, bu rıza Kullanım Koşulları ve Gizlilik Politikası kabulünden ayrı, önceden işaretlenmemiş bir tercih olarak alınabilir. Bu tercih e-posta/parola ile kayıt ve Apple/Google ile giriş gibi hesap açma akışları için de uygulanabilir. AB/AEA, Birleşik Krallık ve İsviçre kullanıcıları için yeterlilik kararı bulunmayan ülkelere aktarımda standart sözleşme hükümleri ve uygun ek güvenceler uygulanabilir.

08Saklama süreleri

Kişisel verileri yalnızca gerekli olduğu süre boyunca saklar, ardından siler veya anonimleştiririz.

Veri kategorisiSaklama süresi
Hesap verisiHesap aktif olduğu sürece; silme sonrası yasal/teknik gereklilikler hariç makul sürede silme
Doğrulama ve sıfırlama kodlarıKısa süreli; süreleri dolunca geçersiz
Refresh token hash'leriToken süresi boyunca veya revocation kaydı gerektiği sürece
Başarısız giriş/kilitlemeGüvenlik amacı için gerekli makul süre
Konum/rota istekleriHizmeti sunmak ve kayıtlı rota/adres için gerekli süre; kaydedilmeyen anlık istekler kalıcı saklanmaz
Adresler, favoriler, araçlar, rotalar, filtrelerSiz silene veya hesap silinene kadar
Check-in kayıtlarıGüvenilirlik hesabı ve kötüye kullanım önleme için gerekli süre; anonim toplu istatistik süresiz
Push tokenlarıÇıkış, token yenileme, bildirim kapatma veya hesap silmeye kadar
Abonelik/tier kayıtlarıAbonelik ilişkisi ve yasal/mali saklama süresince
Müşteri destek yazışmalarıGenellikle 24 ay; uyuşmazlık halinde daha uzun
API ve uygulama loglarıGenellikle 7–30 gün; güvenlik olayında gerekli süre
Backend hata/Sentry kayıtlarıSentry ayarlarına göre, genellikle 90 gün
AI rota özeti istekleriÖzeti üretmek ve güvenlik için gerekli teknik süre; kalıcı rota yalnızca kullanıcı kaydederse tutulur
Rıza/onay kayıtlarıİspat için gerekli süre; geri çekmeden itibaren genellikle 5 yıl

Hesabınızı sildiğinizde, yasal saklama, güvenlik ve hak savunusu için gerekli olan veriler hariç uygulama verilerinizi siler veya anonimleştiririz.

09Haklarınız

KVKK Madde 11 kapsamında Türkiye'deki kullanıcılar; kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse bilgi talep etme, işlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme, aktarıldığı üçüncü kişileri bilme, eksik/yanlış verilerin düzeltilmesini, KVKK Md. 7 kapsamında silinmesini veya yok edilmesini isteme, bu işlemlerin aktarılan üçüncü kişilere bildirilmesini isteme, münhasıran otomatik analiz sonucu aleyhe sonuca itiraz etme ve kanuna aykırı işleme nedeniyle zarara uğraması halinde tazminat talep etme haklarına sahiptir.

Başvurularınızı [email protected] adresine iletebilirsiniz. Talebinizi doğrulamak için ek bilgi isteyebiliriz. KVKK kapsamında başvurulara en geç 30 gün içinde yanıt vermeyi hedefleriz.

AB/AEA, Birleşik Krallık, İsviçre, Kaliforniya ve benzeri rejimlere tabi kullanıcılar; erişim, düzeltme, silme, kısıtlama, taşınabilirlik, itiraz, rıza geri çekme ve denetim makamına şikâyet haklarını kullanabilir.

10Konum ve bildirim kontrolleri

  • Konum iznini iOS/Android ayarlarından istediğiniz zaman kapatabilirsiniz.
  • Uygulama, konum izni olmadan da adres arama ve manuel rota girişiyle kullanılabilir; ancak "Konumum", yakın istasyonlar ve otomatik başlangıç gibi özellikler sınırlanabilir.
  • Konum veya bildirim izni istemeden önce uygulama, iznin hangi özellik için kullanılacağına dair kısa bir amaç bilgilendirmesi gösterebilir.
  • Push bildirimlerini işletim sistemi veya uygulama içi kontrollerden kapatabilirsiniz.
  • Kayıtlı adres, araç, favori ve rota verilerinizi uygulama içinden silebilirsiniz.

11Çerezler ve izleme

Lumy Charge mobil uygulaması davranışsal reklam veya uygulamalar arası takip için IDFA/AAID tabanlı izleme kullanmak üzere tasarlanmamıştır. lumycharge.app web sitesinde yalnızca gerekli site işletimi/güvenliği çerezleri kullanılabilir. Pazarlama veya analitik çerezleri eklenirse ayrı çerez politikası ve gerekli hallerde rıza mekanizması sunulur.

12Güvenlik

Kişisel verileri korumak için makul teknik ve idari önlemler uygularız: TLS ile iletim sırasında şifreleme; parola hashleme; kısa ömürlü JWT ve rotasyonlu refresh tokenlar; rate limiting ve brute-force koruması; API anahtarı kapısı ve CORS allowlist; yetkilendirme kontrolleri; log ve hata raporlarında hassas veri azaltma; veri işleyen seçiminde güvenlik ve sözleşmesel koruma değerlendirmesi.

Hiçbir sistem tamamen güvenli değildir. Kişisel veri ihlali tespit edersek, yürürlükteki hukukun gerektirdiği şekilde ilgili kişileri ve/veya yetkili makamları bilgilendiririz.

13Hizmet ve veri doğruluğu hakkında

Şarj istasyonu konumu, soket durumu, fiyat, uygunluk, çalışma saati, operatör bilgisi, tahmini doluluk/uptime ve rota önerileri üçüncü taraf veya topluluk kaynaklı olabilir; gecikmeli, eksik veya hatalı olabilir. Uygulamadaki bilgiye dayanarak yola çıkmadan veya şarj planlamadan önce kritik bilgileri mümkünse operatör uygulaması, istasyon ekranı veya resmi kaynaklarla kontrol edin. Lumy Charge bir trafik güvenliği, acil yardım, navigasyon garantisi veya enerji satış/roaming hizmeti değildir.

14Değişiklikler

Bu Politika zaman zaman güncellenebilir. Maddi değişikliklerde uygulama içi bildirim, e-posta veya web sitesinde duyuru yapabiliriz. Yeni bir rıza gerektiren işlem başlatılırsa gerekli rıza işleme başlamadan önce alınacaktır.

15İletişim

Gizlilik, KVKK veya veri haklarınız için: [email protected] · Posta: Cumhuriyet Mah. Halis Sokak No:7, 46300 Elbistan/Kahramanmaraş, Türkiye.

Cevabımızdan memnun kalmazsanız Kişisel Verileri Koruma Kurumu'na başvuru/şikâyet hakkınız saklıdır: kvkk.gov.tr

Geçerli dil: Bu Politika Türkçe ve İngilizce yayımlanabilir. Türkiye'deki kullanıcılar için Türkçe metin esas alınır.

← Home

Privacy Policy

This Policy explains how Lumy Charge collects, uses, shares, and protects personal data when you use the Lumy Charge mobile app, lumycharge.app website, and related API services (the "Service").

Last updated: June 12, 2026 · Version 1.0.0

For users in Türkiye, the Turkish version also serves as the clarification notice under Article 10 of the Turkish Personal Data Protection Law no. 6698 ("KVKK"). For KVKK purposes, the Turkish version controls.

01 · Controller 02 · Scope 03 · Data we process 04 · Why we process 05 · Sharing 06 · International transfers 07 · Retention 08 · Your rights 09 · Security 10 · Accuracy 11 · Changes 12 · Contact

01Controller

Controller Emre İspir (sole proprietorship / şahıs şirketi) — brand: Lumy Charge
Tax no: 4810858373
Address: Cumhuriyet Mah. Halis Sokak No:7, 46300 Elbistan/Kahramanmaraş, Türkiye
Email: [email protected]

02Scope

This Policy covers the iOS and Android Lumy Charge app, lumycharge.app, the Lumy Charge API, and support communications. It does not cover Apple App Store, Google Play, Apple/Google account services, external map apps, charging operators, or third-party websites/services opened from the app.

03Data we process

We may process:

  • Account data: email, password hash, first/last name, email verification state, password reset and verification codes, language.
  • Apple/Google sign-in data: OAuth subject identifier, email, name where provided.
  • Vehicle and garage data: selected EV catalog entry, make/model/variant, battery and charging specs, nickname, optional plate, default vehicle.
  • Route and address data: origin, destination, intermediate stops, search text, Place IDs, coordinates, saved addresses, saved route snapshots, starting state of charge, target charge, route preferences.
  • Location data: approximate or precise device location when you grant permission.
  • Favorites and notifications: favorite stations, availability notification preference, push token where enabled.
  • Community check-ins: station/socket/result/tags, and device/IP signals used for rate limiting.
  • Subscription data: app user ID, free/premium tier, entitlement and renewal/expiration signals from RevenueCat/App Store/Google Play. We do not receive payment card data.
  • Technical data: device model, OS/app version, locale, timezone, IP address, user-agent, security/rate-limit logs, and backend crash/error diagnostics.
  • AI route-summary data: origin/destination, stops, route-plan details, charging-stop plan, vehicle/SoC preferences, and route context sent to Anthropic Claude Haiku for Premium AI route summaries, without intentionally sending direct identifiers such as name, email, phone number, plate, or account ID.
  • Support messages: messages you send to us and our replies.

Lumy Charge does not ask for sensitive personal data. Please do not include health, religion, political views, biometric data, or similar sensitive data in labels, route names, check-in tags, or support messages.

04Why we process data

We process personal data to: create, secure, and manage your account; authenticate through email, Apple, or Google; show nearby charging stations and map results; process address autocomplete, route previews, smart route planning, and EV compatibility; save vehicles, favorites, addresses, routes, and filters; send user-enabled notifications; manage Premium access and subscription entitlements; prevent abuse, scraping, fraud, and account compromise; diagnose backend bugs and improve reliability; generate Premium AI route summaries; and comply with law and defend legal rights.

Our legal bases include performance of contract, legitimate interests, legal obligation, and consent where required, especially for precise location, push notifications, diagnostics, marketing, and certain cross-border transfers.

At launch, we do not send marketing or commercial electronic messages. Email is limited to transactional messages such as email verification, password reset, security, account, and subscription messages. If we later send marketing or promotional messages, we will request any required separate consent before doing so.

05Sharing

We do not sell personal data and do not share it for cross-context behavioral advertising. We may share data with service providers listed on the Subprocessors page, including infrastructure/database providers, Google Maps Platform, Apple/Google sign-in, RevenueCat, App Store/Google Play, Resend transactional email, push notification infrastructure, backend diagnostics providers, and Anthropic Claude Haiku for AI route summaries.

Apple, Google, external map apps, payment stores, and charging operators may act as independent controllers for their own services. We may also disclose data where required by law, court order, government request, security investigation, fraud prevention, rights enforcement, or business transfer.

06International transfers

The Service may be operated from Türkiye while providers such as Supabase, Render, Google, Apple, RevenueCat, Resend, Firebase/APNs, Sentry, and Anthropic process data in the United States, European Union, and other regions. For Türkiye users, cross-border transfers are assessed under KVKK Article 9 and related regulations. Depending on the provider and transfer, we may rely on explicit consent, standard contractual clauses/recognized safeguards, or statutory exceptions.

Where explicit consent is required for cross-border transfers, that consent may be requested separately from acceptance of the Terms and Privacy Policy, through an unchecked choice during account creation flows, including email/password registration and Apple/Google sign-in. For EEA/UK/Swiss users, we rely on standard contractual clauses and appropriate supplementary safeguards where needed.

07Retention

We keep personal data only as long as needed:

CategoryRetention
Account dataAccount lifetime, then deletion/anonymization subject to legal/security needs
Verification/reset codesShort-lived until expiry
Vehicles, favorites, saved routes/addresses, filtersUntil you delete them or delete your account
Location/route requestsFor feature operation and saved items; unsaved transient requests are not kept beyond logs unless needed
Check-insAs needed for reliability scoring and abuse prevention; aggregated anonymous statistics may be retained
Push tokensUntil logout, token refresh, notification disable, or account deletion
Subscription recordsSubscription lifecycle plus legal/financial retention
Support messagesUsually 24 months unless a dispute requires longer
API/app logsUsually 7–30 days unless needed for security
Backend diagnostics / SentryUsually 90 days unless configured differently
AI route-summary requestsFor the technical period needed to generate the summary; saved route data remains only if the user saves it
Consent recordsAs needed for proof, typically 5 years after withdrawal

08Your choices and rights

You can disable location and notifications through iOS/Android settings. Before requesting location or notification permission, the app may show a short purpose notice. Push permission may be requested when you enable a related feature such as availability or price-drop notifications. You can delete saved vehicles, addresses, favorites, and routes in the app.

Depending on your jurisdiction, you may have rights to access, correct, delete, restrict, object, export, withdraw consent, or complain to a regulator. Türkiye users have the rights listed under KVKK Article 11. Contact [email protected] to exercise rights.

09Security

We use reasonable technical and organizational measures, including TLS, password hashing, short-lived JWTs, rotating refresh tokens, rate limiting, API key gating, authorization checks, CORS allowlists, logging minimization, and vendor security review. No system is fully secure. If we identify a personal-data breach requiring notification, we will notify affected users and/or authorities as required by law.

10Accuracy disclaimer

Charging station location, availability, price, socket, operator, opening-hour, route, compatibility, occupancy, and uptime data may be delayed, incomplete, estimated, or incorrect. Verify critical information with the charging operator, station display, official source, or navigation app before relying on it. Lumy Charge is not an emergency, traffic-safety, guaranteed navigation, energy sale, or charging-roaming service.

11Changes

We may update this Policy. Material changes may be announced in-app, by email, or on the website. Where a new consent is required, we will request it before starting the relevant processing.

12Contact

Email: [email protected] · Postal address: Cumhuriyet Mah. Halis Sokak No:7, 46300 Elbistan/Kahramanmaraş, Türkiye.

Governing language: for users in Türkiye, the Turkish version controls.