VERİ İŞLEME VE SAKLAMA POLİTİKASI
Yürürlük Tarihi: 1 Haziran 2026 Uygulama: Turn Fit AI Veri Sorumlusu: Turn Fit AI İletişim: support@turnfitai.com | support@turnfitai.com
1. AMAÇ VE KAPSAM
Bu Veri İşleme ve Saklama Politikası ("Politika"), Turn Fit AI uygulaması bünyesinde işlenen kişisel verilerin yaşam döngüsünü; toplanma, kullanma, paylaşma, saklama, silme ve yok etme süreçlerini detaylı düzenler. Politika; KVKK m.7 ve "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik"; GDPR Madde 5, 25, 32 (default by design / by default); ISO/IEC 27001 ve 27701 standartlarına dayanır.
2. VERİ İŞLEME PRENSİPLERİ
Tüm veri işleme faaliyetlerimiz aşağıdaki ilkelere göre yürütülür:
| İlke | Açıklama |
|---|---|
| Hukuka ve dürüstlük kuralına uygunluk | KVKK m.4/2-a, GDPR m.5/1-a |
| Doğruluk ve güncellik | KVKK m.4/2-d, GDPR m.5/1-d |
| Belirli, açık, meşru amaç | KVKK m.4/2-b, GDPR m.5/1-b |
| Amaca uygunluk ve sınırlılık | KVKK m.4/2-ç |
| Veri minimizasyonu | GDPR m.5/1-c |
| İlgili mevzuat süresince saklama | KVKK m.4/2-d, GDPR m.5/1-e |
| Güvenlik | KVKK m.12, GDPR m.5/1-f, m.32 |
| Hesap verebilirlik | GDPR m.5/2 |
| Tasarımla gizlilik (Privacy by Design) | GDPR m.25 |
3. VERİ KATEGORİLERİ VE SAKLAMA SÜRELERİ
| Veri Kategorisi | Saklama Süresi | Hukuki Dayanak | İşleme Sonu |
|---|---|---|---|
| Hesap kimlik bilgileri (ad, e-posta) | Hesap aktif olduğu sürece + silme talebi sonrası 30 gün | Sözleşme | Silinir |
| Profil bilgileri (yaş, cinsiyet, boy, kilo) | Hesap aktif olduğu sürece | Açık rıza + sözleşme | Silinir |
| Sağlık ve fitness verileri | Hesap aktif olduğu sürece | Açık rıza | Silinir veya anonim |
| AI sohbet geçmişi | 12 ay (kullanıcı silebilir) | Açık rıza | Silinir |
| Yüklenen fotoğraflar | Hesap aktif olduğu sürece veya kullanıcı silene kadar | Açık rıza | Silinir |
| Çökme/hata logları | 90 gün | Meşru menfaat | Otomatik silinir |
| Analitik veriler (kişisel ID) | 14 ay | Açık rıza | Anonimleştirilir |
| Anonim agregat veriler | Süresiz | Anonim, kapsam dışı | — |
| Cihaz tanımlayıcıları | Hesap aktif olduğu sürece | Sözleşme/güvenlik | Silinir |
| Push bildirim tokenleri | Bildirim izni geri çekilene kadar | Açık rıza | Silinir |
| IP adresleri (güvenlik logları) | 1 yıl | Meşru menfaat | Anonimleştirilir |
| Abonelik ve ödeme kayıtları | 10 yıl | VUK m.253, TTK m.82 | Yasal süre sonunda silinir |
| KVKK/GDPR başvuru kayıtları | 3 yıl | Hesap verebilirlik | Silinir |
| Hukuki uyuşmazlık kanıtları | Davanın sonuçlanmasına kadar | KVKK, HMK | Silinir |
| Çerez tercihleri | 24 ay veya değişene kadar | Açık rıza | Yenilenir |
4. VERİ İŞLEME SÜREÇLERİ
4.1. Toplama
- Kullanıcı tarafından doğrudan girilen veriler (kayıt formu, profil)
- Otomatik toplanan veriler (analitik, çerez, cihaz sensörleri)
- Üçüncü taraflardan alınan veriler (Apple Sign In, Google Sign In, Apple Health, Google Fit)
- Çıkarımsal olarak üretilen veriler (BMR, TDEE, kalori hedefi)
4.2. Kayıt ve Depolama
- Aktif veriler: Supabase / MongoDB üzerinde, AB veya ABD bölgesinde
- Medya dosyaları: Cloudflare R2 veya AWS S3 bucket'larında
- Yedekler: Şifrelenmiş günlük tam yedek + saatlik artımlı yedek
- AsyncStorage / SecureStore: Cihazda yerel önbellek
4.3. İşleme
- Sözleşmenin ifası amaçlı (hizmet sunma)
- AI modelleri tarafından (anonimleştirilmiş/takma adlandırılmış olarak)
- Analitik için (agreged)
- Yasal yükümlülükler için
4.4. Paylaşım
Gizlilik Politikası belgesinde belirtilen üçüncü taraflarla, hizmet sunma amacıyla, veri işleme sözleşmeleri (DPA) çerçevesinde.
4.5. Silme ve Yok Etme
"Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik" m.7-9 uyarınca:
| Yöntem | Açıklama |
|---|---|
| Silme | Tekrar erişilemeyecek hâle getirme (DB row deletion + medya unlink) |
| Yok etme | Verinin fiziksel ortamda geri getirilemeyecek şekilde imhası (yedek rotasyonu sonrası) |
| Anonim hâle getirme | Verinin başka kayıtlarla eşleştirilemez hâle getirilmesi (kimlik kolonu çıkarma + k-anonimite) |
4.6. Periyodik İmha
- Saklama süresi dolmuş veriler 6 aylık periyotlarda otomatik imha edilir.
- İmha kayıtları KVKK m.7 uyarınca tutulur.
5. VERİ GÜVENLİĞİ ÖNLEMLERİ
5.1. Teknik Önlemler
- Şifreleme:
- Veri iletiminde TLS 1.2+ (HTTPS)
- Veri depolamada AES-256
- Şifreler bcrypt ile hashlenir
- Erişim Kontrolü:
- Rol bazlı erişim (RBAC)
- Çok faktörlü kimlik doğrulama (MFA) personel için
- Minimum yetki ilkesi
- Ağ Güvenliği:
- Web Application Firewall (WAF) - Cloudflare
- DDoS koruması
- Bot filtreleme
- İzleme:
- Log toplama ve SIEM
- Anormal davranış tespiti
- Düzenli sızma testleri (yıllık)
- Yedekleme:
- Günlük tam yedek
- Şifrelenmiş yedekler
- Coğrafi olarak ayrı bölgede saklama
5.2. İdari Önlemler
- Personel gizlilik sözleşmeleri
- KVKK / GDPR eğitimleri (yılda en az 2 kez)
- Veri ihlali müdahale planı
- Üçüncü taraf risk değerlendirmesi (DPIA, vendor assessment)
- Veri envanteri ve işleme kayıtları (Article 30 Records)
6. VERİ İHLALİ MÜDAHALE PLANI
6.1. Tespit
Otomatik izleme sistemleri ve manuel raporlama ile veri ihlalleri tespit edilir.
6.2. Değerlendirme
İhlalin türü, etkilenen veri kategorisi, etkilenen kişi sayısı ve riski değerlendirilir.
6.3. Bildirim Süresi
- KVKK Kurumu'na: En kısa sürede, en geç 72 saat içinde (KVKK Kurul kararı)
- GDPR DPA'ya: 72 saat içinde (Madde 33)
- Etkilenen veri sahiplerine: Yüksek risk halinde derhal (KVKK m.12/5; GDPR m.34)
6.4. Bildirim İçeriği
- İhlalin niteliği ve etkilenen veri kategorileri
- Tahmini etkilenen kişi sayısı
- Olası sonuçlar
- Alınan ve alınacak önlemler
- İletişim noktası (DPO)
6.5. Düzeltici Tedbirler
İhlal sonrası kök neden analizi yapılır ve benzer ihlalleri önleyecek tedbirler alınır.
7. VERİ İŞLEME SÖZLEŞMELERİ (DPA)
Veri işleyen sıfatıyla hareket eden tüm üçüncü taraflarla:
- GDPR Madde 28'e uygun Veri İşleme Sözleşmesi
- KVKK m.12 uyarınca yazılı sözleşme
- Standart Sözleşme Maddeleri (SCC) — yurt dışı transferler için
- Gizlilik ve veri güvenliği taahhütleri
mevcuttur.
8. VERİ KORUMA ETKİ DEĞERLENDİRMESİ (DPIA)
GDPR Madde 35 ve KVKK Kurumu rehberi uyarınca yüksek riskli işleme faaliyetleri için DPIA gerçekleştirilmiştir:
- Sağlık verisi işleme
- AI ile profilleme ve otomatik karar verme
- Çocuk verileri (uygulanmıyor — uygulama 16/18+ için)
DPIA özetleri talep üzerine paylaşılabilir.
9. VERİ HARİTASI VE ENVANTER
Turn Fit AI aşağıdaki dokümanları güncel tutmaktadır:
- Veri envanteri (hangi veri, nerede, neden, ne kadar süre)
- İşleme faaliyetleri kaydı (Article 30)
- Üçüncü taraf işleyici listesi
- Veri akış diyagramları
- Uluslararası transfer kayıtları
10. POLİTİKA YÖNETİMİ
10.1. Bu Politika yılda en az bir kez gözden geçirilir. 10.2. Mevzuat değişikliklerinde derhal güncellenir. 10.3. Politika değişiklikleri uygulama içi bildirim ve e-posta ile duyurulur. 10.4. Bu Politika'nın tüm versiyonları geçmişi DPO tarafından arşivlenir.
11. SORUMLULUKLAR
| Rol | Sorumluluk |
|---|---|
| Veri Sorumlusu | İşleme faaliyetinin amaç ve vasıtalarını belirlemek; KVKK/GDPR uyumunu sağlamak |
| Veri Koruma Görevlisi (DPO) | Mevzuat uyumunu denetlemek, veri sahibi taleplerini yönetmek |
| Veri İşleyen | Veri sorumlusu adına ve talimatları doğrultusunda veri işlemek |
| Çalışanlar | Politikalara uymak, ihlal şüphesi halinde derhal raporlamak |
12. KULLANICI HAKLARI VE BAŞVURU
Veri işleme faaliyetlerine ilişkin haklarınız için KVKK Aydınlatma Metni, GDPR Uyum Bildirimi, CCPA Gizlilik Bildirimi ve Veri Silme Politikası belgelerine başvurabilirsiniz.
13. İLETİŞİM
- DPO: support@turnfitai.com
- KVKK Başvuru: support@turnfitai.com / —
- Genel: support@turnfitai.com
© 2026 Turn Fit AI — Tüm hakları saklıdır.