Gizlilik Politikası
Son güncelleme: 2 Mayıs 2026
Bu Gizlilik Politikası, fitorn.com web sitesi ve Fitorn iOS / Android mobil uygulaması (birlikte "Hizmet") aracılığıyla işlediğimiz kişisel verilerin nasıl toplandığını, kullanıldığını, paylaşıldığını ve saklandığını açıklar.
Hizmeti kullanarak bu politikayı okuduğunuzu ve kabul ettiğinizi onaylamış olursunuz. Politikada özel olarak tanımlanmayan terimler 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve AB Genel Veri Koruma Tüzüğü ("GDPR") kapsamında kullanılan anlamlarına sahiptir.
1. Veri Sorumlusu ve İletişim
Fitorn ("biz", "Fitorn", "Hizmet sağlayıcı") veri sorumlusu sıfatıyla kişisel verilerinizi işler.
İletişim: info@fitorn.com (genel), destek: support@fitorn.com (KVKK / GDPR talepleri için).
Şirket ünvanı, ticari sicil no, adres ve VERBİS kaydı: kuruluş tamamlandığında bu bölümde yayımlanacaktır. Türkiye Cumhuriyeti sınırları içinde bulunan kullanıcılar için KVKK temsilcisi atanması gerektiğinde temsilci bilgileri burada güncellenecektir.
2. İşlediğimiz Kişisel Veriler
Hizmeti kullanırken aşağıdaki veri kategorilerini topluyor ve işliyoruz:
- Kimlik & İletişim: ad-soyad, e-posta adresi, parola özeti (bcrypt ile geri-dönüşsüz).
- Profil ve sağlık göstergeleri: yaş, cinsiyet, boy, vücut ağırlığı, fitness hedefi, deneyim seviyesi, ekipman, beslenme tercihi.
- Antrenman verisi: aktif plan, tamamlanan antrenmanlar, set/tekrar/yük kayıtları, RPE notu, kişisel rekorlar, yasak egzersizler.
- Beslenme verisi: aktif beslenme planı, öğün ve su kayıtları, makro besin değerleri.
- Yapay zekâ koç içeriği: kullanıcının koça gönderdiği mesajlar ve modelden dönen yanıtlar.
- Abonelik bilgisi: RevenueCat tarafından tutulan ürün/abonelik durumu, deneme/satın alma olayları (kart bilgisi tutmuyoruz; ödeme Apple veya Google üzerinden işlenir).
- Cihaz ve teknik veri: cihaz türü, işletim sistemi, uygulama sürümü, IP adresi, anonimleştirilmiş kullanım analitikleri.
- Bildirim ve push token: Firebase Cloud Messaging tarafından üretilen cihaz tanıtıcı.
- Çerezler ve benzer teknolojiler: yalnızca web sitesinde (oturum tercihi, dil, anonim trafik analizi).
3. Verileri Toplama Yöntemleri
- Doğrudan sizden: kayıt formu, profil ekranı, antrenman/beslenme kaydı, yapay zekâ koç sohbeti, destek talepleri.
- Otomatik: uygulama içi olay analitikleri, hata raporları, abonelik webhook’ları (RevenueCat).
- Üçüncü taraflar: kimlik doğrulama sırasında Sign in with Apple veya Google ile giriş yapmayı seçerseniz ilgili sağlayıcıdan e-posta ve isim alınır.
4. İşleme Amaçları ve Hukuki Dayanak
Verilerinizi yalnızca aşağıdaki açık ve sınırlı amaçlar için işliyoruz. KVKK madde 5/2 ve GDPR madde 6 kapsamındaki dayanaklar parantez içinde belirtilmiştir.
- Hesap oluşturma ve oturum yönetimi (sözleşmenin kurulması ve ifası).
- Kişiselleştirilmiş antrenman ve beslenme planı üretmek; yapay zekâ koç yanıtları sağlamak (sözleşmenin ifası).
- Plan üretimi sırasında kullanıcının fiziksel verilerini, hedefini ve ekipmanını üçüncü taraf yapay zekâ modellerine prompt parametresi olarak göndermek (sözleşmenin ifası + meşru menfaat).
- Abonelik ve ödeme süreçlerini Apple / Google / RevenueCat üzerinden yürütmek (yasal yükümlülük + sözleşmenin ifası).
- Hizmet performansını ölçmek, hata teşhisi ve güvenlik (meşru menfaat).
- Ürün geliştirme ve istatistiksel analiz; e-posta dahil iletişim (meşru menfaat / açık rıza).
- Yasal yükümlülüklerin yerine getirilmesi, hukuki taleplere yanıt verme (yasal yükümlülük).
5. Üçüncü Taraf Veri İşleyenler
Yapay zekâ sağlayıcıları (Anthropic, OpenRouter, Google Gemini) gönderdiğimiz istemleri model eğitiminde kullanmamayı (no-train) sözleşmeyle taahhüt eder. İstem içinde yer alan sağlık göstergeleri ve hedeflerinize bağlı çıkarımlar, yalnızca o oturumun yanıtını üretmek için kullanılır.
Reklam ağları, veri komisyoncuları veya cihaz bazlı reklam tanımlayıcısı (IDFA / GAID) toplayan üçüncü taraflarla veri paylaşmıyoruz. Kişisel verinizi reklam karşılığında satmıyoruz.
| Sağlayıcı | Amaç | İşlenen veri | Bölge |
|---|---|---|---|
| Anthropic Claude | Yapay zekâ koç ve plan üretimi | Kullanıcı mesajları, profil ve plan parametreleri | ABD / AB |
| OpenRouter | LLM yönlendirme katmanı | Yapay zekâ istemleri ve yanıtları | ABD |
| Google Gemini | Yapay zekâ destekli üretim (yedek/maliyet) | Yapay zekâ istemleri ve yanıtları | AB / ABD |
| RevenueCat | Abonelik durumu ve mağaza olayları | Anonim kullanıcı kimliği, satın alma durumları | ABD |
| Apple App Store | iOS ödeme ve abonelik işlemi | Apple ID üzerinden ödeme; biz kart verisi görmeyiz | ABD / Bölge |
| Google Play | Android ödeme ve abonelik işlemi | Google hesabı üzerinden ödeme | ABD / Bölge |
| Firebase Cloud Messaging | Push bildirim teslimatı | Cihaz token, bildirim içeriği | ABD |
| Sentry | Hata ve performans izleme | Hata stack’i, anonimleştirilmiş cihaz/sürüm | AB / ABD |
| PostHog (EU host) | Ürün analitiği | Anonim kullanıcı kimliği, olay isimleri, sayfa görüntüleri | AB (eu.i.posthog.com) |
| SendGrid (Twilio) | Doğrulama ve OTP e-postaları | E-posta adresi, OTP kodu (kısa süreli) | ABD / AB |
| Railway | Uygulama barındırma | Operasyonel günlükler | ABD |
| Vercel | Web sitesi barındırma | CDN günlükleri (anonim) | Küresel CDN |
6. Yapay Zekâ ile Veri İşleme
Antrenman planı üretirken veya yapay zekâ koçla sohbet ederken; profil parametreleriniz, geçmiş antrenmanlar, beslenme verisi ve yazdığınız mesaj LLM sağlayıcılarına HTTPS üzerinden iletilir.
Bu istemler kalıcı olarak saklanmaz; sağlayıcı tarafında en fazla 30 gün geçici olarak işleme/güvenlik amacıyla tutulabilir. Modellerimiz tıbbi tavsiye vermez; üretilen plan / koç metinleri yalnızca bilgilendirme amaçlıdır ve sağlık profesyoneli görüşünün yerine geçmez.
Yapay zekâ özelliklerini kullanmak istemiyorsanız, hesabınızı kullanmadan önce destek üzerinden bilgi talep edebilir veya hesabı silebilirsiniz.
7. Veri Saklama Süreleri
Kişisel veriler aşağıdaki süreler boyunca saklanır. Süre sonunda veri kalıcı olarak silinir, anonimleştirilir veya yasal saklama yükümlülüğü gereği arşivlenir.
| Veri kategorisi | Saklama süresi |
|---|---|
| Hesap (e-posta, parola özeti, profil) | Hesap aktif olduğu sürece |
| Antrenman ve beslenme kayıtları | Hesap aktif olduğu sürece |
| Yapay zekâ koç konuşmaları | Hesap aktif olduğu sürece (kullanıcı tek tek silebilir) |
| Hesap silme talebinden sonra | 30 gün soft-delete penceresi (geri açılabilir), 30 gün sonunda kalıcı silme |
| Abonelik / fatura kaydı | Yasal yükümlülük gereği 10 yıl (Türk Vergi Usul Kanunu) |
| Hata ve güvenlik logları (Sentry, sunucu) | 90 gün |
| Ürün analitikleri (PostHog) | 180 gün |
| OTP ve şifre sıfırlama kodları | En fazla 15 dakika |
| Bekleme listesi e-postaları (eski form) | Lansman duyurusuna kadar; sonra 6 ay içinde silinir |
8. Hesap Silme ve Geri Açma Penceresi
Uygulama içinden Profil → Hesap → "Hesabı Sil" akışını kullandığınızda hesabınız anında devre dışı bırakılır. Veri tabanında hesabınız 30 gün boyunca soft-delete durumunda tutulur. Bu süre içinde aynı e-posta ve parola ile yeniden giriş yaparsanız hesap geri açılır ve tüm verileriniz korunur.
30 günün sonunda otomatik kalıcı silme süreci çalışır. Bu noktada profil, antrenman, beslenme, koç konuşmaları ve oturum kayıtlarınız geri alınamaz şekilde silinir; abonelik fatura kayıtları yasal saklama süresi gereği finansal arşivde kalır.
Aboneliğiniz aktifse hesap silmek mağaza aboneliğini iptal etmez. İptal için iOS Ayarlar → Apple Hesabı → Abonelikler veya Google Play → Abonelikler yolunu kullanın.
9. Yurtdışına Veri Aktarımı
Yukarıdaki tabloda görüldüğü üzere bir kısım hizmet sağlayıcı (Anthropic, OpenRouter, RevenueCat, Vercel, Railway vb.) verileri ABD bölgesinde işler. Aktarımlar KVKK madde 9 ve GDPR Bölüm V kapsamında AB Standart Sözleşme Hükümleri (SCC) ve eşdeğer korumalara dayanılarak gerçekleştirilir.
Avrupa Birliği bölgesindeki kullanıcılar için ürün analitiği (PostHog) AB sunucularında (eu.i.posthog.com) işlenir.
10. Veri Güvenliği
- Tüm trafik HTTPS / TLS 1.2+ ile şifrelenir.
- Parolalar bcrypt ile geri-dönüşsüz hash’lenir; düz metin parolayı saklamayız.
- Erişim katmanları en az ayrıcalık ilkesine göre yapılandırılır; üretim veritabanına erişim yalnızca yetkili teknik personeldedir.
- Sunucu üzerinde brute-force koruması (rate limiting), kimlik doğrulama deneme sınırları ve oturum iptal mekanizmaları çalışır.
- Hata izleme servisinde (Sentry) PII filtreleri etkindir; e-posta gibi alanlar maskelenir.
- Yedeklemeler şifrelenmiş şekilde sınırlı süre saklanır.
11. Çocukların Verileri
Hizmet 13 yaşın altındaki kullanıcılara yönelik değildir ve bu yaş grubundan bilerek veri toplamayız. AB / Türkiye yetki alanlarında yaş eşiği bazı durumlarda 16 olabilir; bu yaş grubundaki kullanıcılar yasal vasilerinden onay almadan hesap oluşturmamalıdır.
13 yaşın altındaki bir kullanıcıya ait veri topladığımızı tespit edersek hesabı kapatır ve verileri sileriz.
12. Çerezler ve Web Analitiği
Web sitesinde dil tercihi, çerez onayı ve oturum bilgisini saklamak için minimum sayıda çerez kullanılır. Analitik çerezler yalnızca onayınızla aktive olur. Mobil uygulama çerez kullanmaz.
13. KVKK ve GDPR Haklarınız
KVKK madde 11 ve GDPR madde 12-22 kapsamında aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme.
- İşleniyorsa amaca, paylaşılan üçüncü taraflara ve süreye ilişkin bilgi talep etme.
- Verilerinizin düzeltilmesini, silinmesini veya işlemenin kısıtlanmasını talep etme.
- Otomatik karar süreçlerine itiraz etme.
- Veri taşınabilirliği — yapılandırılmış formatta verinizi alma (uygulama içi GET /user/export endpoint’i veya support@fitorn.com).
- KVKK madde 13 kapsamında Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca yazılı olarak başvuru yapma.
- Açık rıza ile gerçekleştirilen işlemeler için rızanızı geri çekme.
14. Haklarınızı Nasıl Kullanırsınız
Talebinizi support@fitorn.com adresine iletebilir; uygulama içinde Profil → Hesabı Sil akışını kullanabilir veya Profil → Hesap üzerinden veri dışa aktarımı talebi yapabilirsiniz. Talepler en geç 30 gün içinde yanıtlanır.
Kişisel Verileri Koruma Kurulu (KVKK) veya yerel veri koruma otoritesine şikâyette bulunma hakkınız saklıdır.
15. Veri İhlali Bildirimi
Kişisel verilerinizi etkileyen bir güvenlik ihlali tespit edersek; KVKK madde 12/5 ve GDPR madde 33 kapsamında 72 saat içinde Kişisel Verileri Koruma Kurulu’na ve etkilendiği değerlendirilen kullanıcılara bildirim yaparız.
16. Politikadaki Değişiklikler
Bu politikayı zaman zaman güncelleyebiliriz. Önemli değişiklikler uygulama içi bildirim veya e-posta ile duyurulur. "Son güncelleme" tarihi sayfanın başında belirtilir; eski sürümler talep üzerine sağlanır.
17. İletişim
Genel sorular: info@fitorn.com
KVKK / GDPR talepleri: support@fitorn.com
Veri aktarımı (export) talebiniz olursa uygulama içinden veya e-posta ile iletebilirsiniz.