Kişisel Verilerin Korunması Kanunu (KVKK) Aydınlatma Metni
DRAFT — Hukuki incelemeye sunulmamıştır. Yayımlanmadan önce KVKK uzmanı bir hukuk firması tarafından gözden geçirilmesi gerekir.
1. Veri Sorumlusu
Talivio Fit uygulaması, Talivio OÜ (“Talivio”, “biz”) tarafından sunulmaktadır.
- Tüzel kişilik: Talivio OÜ
- Tescil ülkesi: Estonya
- Türkiye’deki temsilci: [Doldurulacak — KVKK Madde 11 yurt dışı veri sorumlusu temsilcisi]
- VERBİS sicil numarası: [Doldurulacak]
- İletişim: [email protected]
- Veri Sorumlusu Temsilcisi (DPO): [Doldurulacak — Madde 37 GDPR / KVKK pratiği]
2. Hangi Kişisel Veriler İşleniyor?
Aşağıda Talivio Fit uygulaması üzerinden işlenen tüm kişisel veri kategorileri yer almaktadır.
2.1. Genel kimlik ve iletişim verileri
- E-posta adresi, ad (opsiyonel), şifre özeti (hash)
- Doğum tarihi, cinsiyet, ülke, dil tercihi
- Cihaz bilgileri (iOS/Android, sürüm, push token)
2.2. Sağlık verisi (KVKK Madde 6 — özel nitelikli kişisel veri)
⚠️ Bu kategori için açık rıza alınmaktadır. Onboarding sırasında onay verilmeden uygulama temel işlevlerinden yararlanılamaz.
- Boy, kilo, vücut ölçüleri
- Aktivite seviyesi, hareket düzeyi
- Alerji bilgileri, sevmediği yiyecekler, sağlık koşulları
- Uyku düzeni, uyku kalitesi öz-beyanı
- Stres seviyesi öz-beyanı
- Adet/regl döngüsü bilgileri (kadın kullanıcılar için, opsiyonel)
- Su tüketimi
- Apple Health / Health Connect üzerinden okunan biyometrik veri: adım sayısı, anlık nabız, aktif yakılan kalori, uyku evreleri
- Yapılan antrenmanlar, süreleri, yoğunluğu
2.3. Yemek ve beslenme verisi
- Çekilen yemek fotoğrafları (Gemini AI ile yemek tanıma için)
- Tüketilen besinler, porsiyon miktarları, makro/mikro tahminleri
- Beslenme hedefleri
2.4. Yapay zeka ile işlenen veriler
- Yemek fotoğrafları → Google Gemini Flash API’ye iletilir (yalnızca tanıma anında)
- Anonimleştirilmiş günlük metrikler → Google Gemini Pro API (kişisel plan üretimi için, ayda 1-2 kez)
2.5. Hesap güvenliği ve loglar
- IP adresi, oturum açma kayıtları
- API çağrı kayıtları (hata ayıklama ve güvenlik için)
2.6. İsteğe bağlı sosyal modül verisi
- Yaklaşık konum (1 km grid’e yuvarlanmış)
- Profil fotoğrafı (selfie doğrulama için, opsiyonel)
- Topluluk paylaşımları, mesajlar
3. Kişisel Verilerin İşlenme Amaçları
| Amaç | Hukuki Sebep (KVKK Madde 5/6) |
|---|---|
| Hesap oluşturma ve yönetme | Sözleşmenin ifası (5/2-c) |
| Sağlık ve fitness takibi | Açık rıza (6/3) |
| AI ile yemek tanıma | Açık rıza + sözleşmenin ifası |
| Kişiselleştirilmiş antrenman ve beslenme planı | Açık rıza + sözleşmenin ifası |
| Topluluk modülü ve sosyal etkileşim | Açık rıza |
| Premium abonelik ve faturalama | Sözleşmenin ifası, yasal yükümlülük |
| Güvenlik, dolandırıcılık önleme | Meşru menfaat (5/2-f) |
| Yasal yükümlülüklere uyma (vergi, denetim) | Yasal yükümlülük (5/2-ç) |
| Hizmet kalitesini iyileştirme (anonim analitik) | Meşru menfaat (5/2-f) |
| Pazarlama iletişimi | Açık rıza (opsiyonel, opt-in) |
4. Kişisel Verilerin Aktarımı
4.1. Yurt içi aktarım
- Türkiye’deki ödeme sağlayıcıları (App Store/Google Play üzerinden)
- Mevzuat gereği kamu otoriteleri (yasal talep halinde)
4.2. Yurt dışı aktarım
Sağlık verisi yurt dışına aktarımı KVKK Madde 9 kapsamında açık rıza veya yeterli koruma gerektirir.
| Alıcı | Ülke | Amaç | Koruma mekanizması |
|---|---|---|---|
| AWS / Hetzner Cloud (sunucu hosting) | Almanya (AB) | Veri saklama | AB GDPR yeterli koruma — Madde 9/1-a |
| Google LLC (Gemini API) | ABD | AI ile yemek tanıma, plan üretimi | Açık rıza + Standard Contractual Clauses (SCC) |
| Google LLC (Firebase Cloud Messaging) | ABD | Push bildirim | SCC |
| Apple Inc. (APNS) | ABD | iOS push bildirim | SCC |
| Mailgun (transactional email) | AB endpoint | E-posta gönderimi | AB GDPR yeterli koruma |
| App Store / Google Play | Çoklu | Abonelik yönetimi, faturalama | İlgili sağlayıcının kendi sözleşmeleri |
5. Saklama Süresi
| Veri kategorisi | Saklama süresi |
|---|---|
| Aktif hesap verisi | Hesap silinene kadar |
| Hesap silindikten sonra kişisel veriler | 30 gün içinde silinir (anonimleştirilmemiş veriler hariç) |
| Anonimleştirilmiş analitik | Süresiz |
| Faturalama ve vergi kayıtları | 10 yıl (TTK 82, VUK 253) |
| Topluluk paylaşımları (silinen kullanıcı) | Anonim “[silinmiş kullanıcı]” olarak korunur, kişisel ID kaldırılır |
| Hata logları, güvenlik logları | 1 yıl |
| AI çağrı logları | 1 yıl (token tüketim takibi için) |
6. Haklarınız (KVKK Madde 11)
Talivio Fit kullanıcısı olarak aşağıdaki haklara sahipsiniz:
a) Kişisel verilerinizin işlenip işlenmediğini öğrenme b) İşlenmişse buna ilişkin bilgi talep etme c) Verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme ç) Yurt içinde veya yurt dışında verilerinizin aktarıldığı üçüncü kişileri öğrenme d) Verilerinizin eksik veya yanlış işlenmesi halinde düzeltilmesini isteme e) Şartlar gerçekleştiğinde verilerinizin silinmesini veya yok edilmesini isteme f) (d) ve (e) bentleri uyarınca yapılan işlemlerin verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme ğ) Kanun’a aykırı işlenmesi sebebiyle zarara uğramanız halinde tazminat talep etme
Haklarınızı nasıl kullanırsınız?
Uygulama içinden:
- Hesap silme: Ayarlar → Hesabımı sil
- Verimi indirme: Ayarlar → Verimi indir (KVKK 11/d, JSON formatında 7 gün içinde indirilebilir link)
- Pazarlama izni iptali: Ayarlar → Bildirimler → Pazarlama
Yazılı olarak:
- E-posta: [email protected]
- Posta: [Talivio OÜ adresi — doldurulacak]
Başvurunuz en geç 30 gün içinde sonuçlandırılır (KVKK Madde 13/2).
7. Otomatik Karar Verme
Talivio Fit, aşağıdaki konularda yapay zeka ile otomatik kararlar üretir:
- Yemek tanıma: Çektiğiniz fotoğraftan yemek ve porsiyon tahmini (Gemini Flash)
- Antrenman planı: Profil ve hedeflerinize göre kişisel program (Gemini Pro)
- Anlık koçluk: Wearable verisinden çıkarılan basit kurallar (“nabzın çok yüksek, yavaşla”)
Önemli: Bu kararlar tıbbi tavsiye değildir. Her zaman düzeltme veya manuel müdahale yapabilirsiniz. Hekiminizi konsültasyon yerine kullanılmamalıdır.
KVKK Madde 11/g uyarınca otomatik karar verme süreçlerine itiraz hakkınız vardır.
8. Çocukların Verisi
Talivio Fit 13 yaş altı kullanıcıları kabul etmemektedir. 18 yaş altı kullanıcılar sosyal modül ve gerçek hoca atamasına erişemez.
13-18 yaş arası kullanıcılar için ebeveyn izni gerekmektedir. Yaşınız hakkında yanlış bilgi verdiğinizi tespit edersek hesabınız kapatılacak ve verileriniz silinecektir.
9. Veri Güvenliği
- Tüm veri trafiği TLS 1.2+ ile şifrelidir
- Şifreler bcrypt ile hash’lenir, asla düz metin saklanmaz
- Sağlık verisi ve wearable token’ları AES-256 ile sunucuda şifreli saklanır
- Sunucularımız Almanya’da, AB GDPR koruması altındadır
- Düzenli yedekleme ve sızma testleri uygulanır
10. Şikayet Hakkı
Verilerinizin işlenmesine ilişkin şikayetlerinizi:
- Önce bize iletmenizi rica ederiz: [email protected]
- Memnun kalmazsanız Kişisel Verileri Koruma Kurumu’na başvurabilirsiniz: kvkk.gov.tr
11. Bu Metnin Güncellenmesi
Bu aydınlatma metnini zaman zaman güncelleyebiliriz. Önemli değişikliklerde:
- Uygulama açıldığında bildirim gösteririz
- Yeniden onayınızı isteriz
- Eski sürüm
legal/archive/altında erişilebilir kalır
Yürürlük tarihi: TBD Versiyon: 0.1 (DRAFT)
Versiyon: 0.1