Turn Fit AI Turn Fit AI
Özellikler Yasal İndir
Ana Sayfa  ›  Yasal Belgeler  ›  Veri İşleme ve Saklama Politikası

VERİ İŞLEME VE SAKLAMA POLİTİKASI

Yürürlük Tarihi: 1 Haziran 2026 Uygulama: Turn Fit AI Veri Sorumlusu: Turn Fit AI İletişim: support@turnfitai.com | support@turnfitai.com


1. AMAÇ VE KAPSAM

Bu Veri İşleme ve Saklama Politikası ("Politika"), Turn Fit AI uygulaması bünyesinde işlenen kişisel verilerin yaşam döngüsünü; toplanma, kullanma, paylaşma, saklama, silme ve yok etme süreçlerini detaylı düzenler. Politika; KVKK m.7 ve "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik"; GDPR Madde 5, 25, 32 (default by design / by default); ISO/IEC 27001 ve 27701 standartlarına dayanır.

2. VERİ İŞLEME PRENSİPLERİ

Tüm veri işleme faaliyetlerimiz aşağıdaki ilkelere göre yürütülür:

İlkeAçıklama
Hukuka ve dürüstlük kuralına uygunlukKVKK m.4/2-a, GDPR m.5/1-a
Doğruluk ve güncellikKVKK m.4/2-d, GDPR m.5/1-d
Belirli, açık, meşru amaçKVKK m.4/2-b, GDPR m.5/1-b
Amaca uygunluk ve sınırlılıkKVKK m.4/2-ç
Veri minimizasyonuGDPR m.5/1-c
İlgili mevzuat süresince saklamaKVKK m.4/2-d, GDPR m.5/1-e
GüvenlikKVKK m.12, GDPR m.5/1-f, m.32
Hesap verebilirlikGDPR m.5/2
Tasarımla gizlilik (Privacy by Design)GDPR m.25

3. VERİ KATEGORİLERİ VE SAKLAMA SÜRELERİ

Veri KategorisiSaklama SüresiHukuki Dayanakİşleme Sonu
Hesap kimlik bilgileri (ad, e-posta)Hesap aktif olduğu sürece + silme talebi sonrası 30 günSözleşmeSilinir
Profil bilgileri (yaş, cinsiyet, boy, kilo)Hesap aktif olduğu süreceAçık rıza + sözleşmeSilinir
Sağlık ve fitness verileriHesap aktif olduğu süreceAçık rızaSilinir veya anonim
AI sohbet geçmişi12 ay (kullanıcı silebilir)Açık rızaSilinir
Yüklenen fotoğraflarHesap aktif olduğu sürece veya kullanıcı silene kadarAçık rızaSilinir
Çökme/hata logları90 günMeşru menfaatOtomatik silinir
Analitik veriler (kişisel ID)14 ayAçık rızaAnonimleştirilir
Anonim agregat verilerSüresizAnonim, kapsam dışı—
Cihaz tanımlayıcılarıHesap aktif olduğu süreceSözleşme/güvenlikSilinir
Push bildirim tokenleriBildirim izni geri çekilene kadarAçık rızaSilinir
IP adresleri (güvenlik logları)1 yılMeşru menfaatAnonimleştirilir
Abonelik ve ödeme kayıtları10 yılVUK m.253, TTK m.82Yasal süre sonunda silinir
KVKK/GDPR başvuru kayıtları3 yılHesap verebilirlikSilinir
Hukuki uyuşmazlık kanıtlarıDavanın sonuçlanmasına kadarKVKK, HMKSilinir
Çerez tercihleri24 ay veya değişene kadarAçık rızaYenilenir

4. VERİ İŞLEME SÜREÇLERİ

4.1. Toplama

  • Kullanıcı tarafından doğrudan girilen veriler (kayıt formu, profil)
  • Otomatik toplanan veriler (analitik, çerez, cihaz sensörleri)
  • Üçüncü taraflardan alınan veriler (Apple Sign In, Google Sign In, Apple Health, Google Fit)
  • Çıkarımsal olarak üretilen veriler (BMR, TDEE, kalori hedefi)

4.2. Kayıt ve Depolama

  • Aktif veriler: Supabase / MongoDB üzerinde, AB veya ABD bölgesinde
  • Medya dosyaları: Cloudflare R2 veya AWS S3 bucket'larında
  • Yedekler: Şifrelenmiş günlük tam yedek + saatlik artımlı yedek
  • AsyncStorage / SecureStore: Cihazda yerel önbellek

4.3. İşleme

  • Sözleşmenin ifası amaçlı (hizmet sunma)
  • AI modelleri tarafından (anonimleştirilmiş/takma adlandırılmış olarak)
  • Analitik için (agreged)
  • Yasal yükümlülükler için

4.4. Paylaşım

Gizlilik Politikası belgesinde belirtilen üçüncü taraflarla, hizmet sunma amacıyla, veri işleme sözleşmeleri (DPA) çerçevesinde.

4.5. Silme ve Yok Etme

"Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik" m.7-9 uyarınca:

YöntemAçıklama
SilmeTekrar erişilemeyecek hâle getirme (DB row deletion + medya unlink)
Yok etmeVerinin fiziksel ortamda geri getirilemeyecek şekilde imhası (yedek rotasyonu sonrası)
Anonim hâle getirmeVerinin başka kayıtlarla eşleştirilemez hâle getirilmesi (kimlik kolonu çıkarma + k-anonimite)

4.6. Periyodik İmha

  • Saklama süresi dolmuş veriler 6 aylık periyotlarda otomatik imha edilir.
  • İmha kayıtları KVKK m.7 uyarınca tutulur.

5. VERİ GÜVENLİĞİ ÖNLEMLERİ

5.1. Teknik Önlemler

  • Şifreleme:
  • Veri iletiminde TLS 1.2+ (HTTPS)
  • Veri depolamada AES-256
  • Şifreler bcrypt ile hashlenir
  • Erişim Kontrolü:
  • Rol bazlı erişim (RBAC)
  • Çok faktörlü kimlik doğrulama (MFA) personel için
  • Minimum yetki ilkesi
  • Ağ Güvenliği:
  • Web Application Firewall (WAF) - Cloudflare
  • DDoS koruması
  • Bot filtreleme
  • İzleme:
  • Log toplama ve SIEM
  • Anormal davranış tespiti
  • Düzenli sızma testleri (yıllık)
  • Yedekleme:
  • Günlük tam yedek
  • Şifrelenmiş yedekler
  • Coğrafi olarak ayrı bölgede saklama

5.2. İdari Önlemler

  • Personel gizlilik sözleşmeleri
  • KVKK / GDPR eğitimleri (yılda en az 2 kez)
  • Veri ihlali müdahale planı
  • Üçüncü taraf risk değerlendirmesi (DPIA, vendor assessment)
  • Veri envanteri ve işleme kayıtları (Article 30 Records)

6. VERİ İHLALİ MÜDAHALE PLANI

6.1. Tespit

Otomatik izleme sistemleri ve manuel raporlama ile veri ihlalleri tespit edilir.

6.2. Değerlendirme

İhlalin türü, etkilenen veri kategorisi, etkilenen kişi sayısı ve riski değerlendirilir.

6.3. Bildirim Süresi

  • KVKK Kurumu'na: En kısa sürede, en geç 72 saat içinde (KVKK Kurul kararı)
  • GDPR DPA'ya: 72 saat içinde (Madde 33)
  • Etkilenen veri sahiplerine: Yüksek risk halinde derhal (KVKK m.12/5; GDPR m.34)

6.4. Bildirim İçeriği

  • İhlalin niteliği ve etkilenen veri kategorileri
  • Tahmini etkilenen kişi sayısı
  • Olası sonuçlar
  • Alınan ve alınacak önlemler
  • İletişim noktası (DPO)

6.5. Düzeltici Tedbirler

İhlal sonrası kök neden analizi yapılır ve benzer ihlalleri önleyecek tedbirler alınır.

7. VERİ İŞLEME SÖZLEŞMELERİ (DPA)

Veri işleyen sıfatıyla hareket eden tüm üçüncü taraflarla:

  • GDPR Madde 28'e uygun Veri İşleme Sözleşmesi
  • KVKK m.12 uyarınca yazılı sözleşme
  • Standart Sözleşme Maddeleri (SCC) — yurt dışı transferler için
  • Gizlilik ve veri güvenliği taahhütleri

mevcuttur.

8. VERİ KORUMA ETKİ DEĞERLENDİRMESİ (DPIA)

GDPR Madde 35 ve KVKK Kurumu rehberi uyarınca yüksek riskli işleme faaliyetleri için DPIA gerçekleştirilmiştir:

  • Sağlık verisi işleme
  • AI ile profilleme ve otomatik karar verme
  • Çocuk verileri (uygulanmıyor — uygulama 16/18+ için)

DPIA özetleri talep üzerine paylaşılabilir.

9. VERİ HARİTASI VE ENVANTER

Turn Fit AI aşağıdaki dokümanları güncel tutmaktadır:

  • Veri envanteri (hangi veri, nerede, neden, ne kadar süre)
  • İşleme faaliyetleri kaydı (Article 30)
  • Üçüncü taraf işleyici listesi
  • Veri akış diyagramları
  • Uluslararası transfer kayıtları

10. POLİTİKA YÖNETİMİ

10.1. Bu Politika yılda en az bir kez gözden geçirilir. 10.2. Mevzuat değişikliklerinde derhal güncellenir. 10.3. Politika değişiklikleri uygulama içi bildirim ve e-posta ile duyurulur. 10.4. Bu Politika'nın tüm versiyonları geçmişi DPO tarafından arşivlenir.

11. SORUMLULUKLAR

RolSorumluluk
Veri Sorumlusuİşleme faaliyetinin amaç ve vasıtalarını belirlemek; KVKK/GDPR uyumunu sağlamak
Veri Koruma Görevlisi (DPO)Mevzuat uyumunu denetlemek, veri sahibi taleplerini yönetmek
Veri İşleyenVeri sorumlusu adına ve talimatları doğrultusunda veri işlemek
ÇalışanlarPolitikalara uymak, ihlal şüphesi halinde derhal raporlamak

12. KULLANICI HAKLARI VE BAŞVURU

Veri işleme faaliyetlerine ilişkin haklarınız için KVKK Aydınlatma Metni, GDPR Uyum Bildirimi, CCPA Gizlilik Bildirimi ve Veri Silme Politikası belgelerine başvurabilirsiniz.

13. İLETİŞİM

  • DPO: support@turnfitai.com
  • KVKK Başvuru: support@turnfitai.com / —
  • Genel: support@turnfitai.com

© 2026 Turn Fit AI — Tüm hakları saklıdır.

© 2026 Turn Fit AI — Tüm hakları saklıdır.
support@turnfitai.com