⚖️ Avukat onayı gerekir. Bu metin Zenyra ekibinin hazırladığı taslaktır; yayınlanmadan önce iç hukuk inceleme yapılmalıdır. Eksik veya yanlış unsur tespit edilirse docs/legal/ altındaki ilgili dosya güncellenir, avukat re-review eder. Versiyon: v0.1 · Son güncelleme: 2026-05-18 · Durum: taslak

Zenyra — Gizlilik Politikası

Bu Gizlilik Politikası, Zenyra mobil uygulamasının (“Zenyra”, “uygulama”) kullanıcılarının kişisel verilerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), ilgili ikincil mevzuat, Apple App Store ve Google Play platform politikaları kapsamında nasıl işlendiğini açıklar.

Zenyra, yetişkin bireylere yönelik bir spiritüel rehberlik uygulamasıdır. Sunulan içerikler içsel farkındalığı destekler; tıbbi teşhis, psikolojik tedavi, finansal yatırım tavsiyesi veya hukuki danışmanlık yerine geçmez.

1. Veri Sorumlusu

Bilgi	Değer
Ünvan	`[şirket ünvanı buraya — Eren teyit edecek]`
Adres	`[şirket adresi buraya]`
MERSIS / vergi no	`[MERSIS no / vergi no buraya]`
VERBİS kayıt no	`[VERBİS kayıt no buraya — KVK Kuruluna kayıtlıysa]`
İletişim e-postası (gizlilik / KVKK başvuruları)	`[iletişim e-postası, örn. privacy@zenyra.net]`
KVKK irtibat kişisi	`[ad-soyad / unvan buraya — KVKK m.3(ı)]`
Hizmet alan kullanıcı	Türkiye’de mukim, 18 yaşını doldurmuş gerçek kişiler

Veri sorumlusunun KVK Kuruluna kayıtlı VERBİS bilgileriyle bu metindeki bilgiler birebir aynı olmalıdır; tutarsızlık avukat tarafından düzeltilmelidir.

2. İşlenen Kişisel Veri Kategorileri ve Kaynakları

Aşağıdaki tablo, Zenyra’nın Supabase (Frankfurt / eu-central-1 bölgesi) altyapısında işlediği gerçek veri envanterini gösterir. Liste, üretim ortamı veritabanı tablo şemalarından (migrations 0001-0030) türetilmiştir; ürün geliştikçe güncellenir.

Veri Kategorisi (KVKK)	Toplanan Veri / Tablo	Veri Tipleri	Amaç	KVKK m.5 Hukuki Sebep	Saklama Süresi
Kimlik	`auth.users` (Supabase Auth)	e-posta, kullanıcı UUID, şifre hash’i (bcrypt), oturum tokenı, telefon (varsa)	Hesap oluşturma, kimlik doğrulama, oturum yönetimi	Sözleşmenin kurulması / ifası (m.5/2-c); ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaat (m.5/2-f)	Hesap aktif olduğu sürece; hesap silme talebinden 30 gün sonra hard delete (K17)
Kimlik / İletişim	`public.profiles`	display_name, locale, is_premium, premium_period_start/end, deleted_at	Kullanıcı profili, dil tercihi, Premium aboneliği yönetimi, soft-delete bayrağı	Sözleşmenin ifası (m.5/2-c)	Hesap aktif olduğu sürece; soft delete + 30 gün grace ardından pg_cron ile hard delete (K17)
Kullanıcı içeriği — spiritüel etkileşim	`public.card_pulls`	user_id, çekilen kart id, çekim zamanı, “AI ile Derinleştir” yanıt metni, unlock_source (free / ad_reward / premium)	ZENYRA Kartları modülü geçmişi, kullanıcının kendi tarihçesini görüntüleyebilmesi	Sözleşmenin ifası (m.5/2-c); açık rıza (özel nitelikli olabilecek serbest metinler için m.6/3 — `[avukat değerlendirir]`)	Hesap silmeye kadar; hesap silme grace süresinin (30 gün) ardından hard delete (K17)
Kullanıcı içeriği — spiritüel etkileşim	`public.iching_history`	user_id, hexagram_id, kullanıcı niyet/sorusu (`user_question`), AI yorum metni, “AI ile Derinleştir” metni	I Ching modülü geçmişi	Sözleşmenin ifası (m.5/2-c); açık rıza (`user_question` serbest metni için — `[avukat değerlendirir]`)	Hesap silmeye kadar; hard delete (K17)
Kullanıcı içeriği — spiritüel etkileşim	`public.pendulum_history`	user_id, sarkaç sonucu (Evet/Hayır/Belirsiz), bekleme süresi, AI yanıt metni	ZENYRA Sarkaç modülü geçmişi	Sözleşmenin ifası (m.5/2-c)	Hesap silmeye kadar; hard delete (K17)
Kullanıcı içeriği — AI sohbet	`public.ai_messages`	user_id, mesaj rolü (user/assistant), mesaj içeriği (serbest metin), token sayıları, cache_metadata, conversation_id	AI Rehber modülü etkileşim geçmişi, kullanıcının önceki sohbet bağlamına dönmesi	Sözleşmenin ifası (m.5/2-c); kullanıcının serbest metinde paylaşabileceği duygu, sağlık, inanç gibi özel nitelikli veri için açık rıza (m.6/3) — `[avukat değerlendirir]`	90 gün (taslak; müşteri/avukat onayı bekler — TEKNIK 3.11, K17). pg_cron nightly purge
Kullanım — kota / hak yönetimi	`public.message_counts`	user_id, count_date (UTC), used, ad_bonus	AI Rehber günlük mesaj kotası kontrolü, kötüye kullanım önleme	Sözleşmenin ifası (m.5/2-c); meşru menfaat (m.5/2-f)	Hesap silmeye kadar; hard delete
Kullanım — AI hafıza	`public.ai_memory_summaries`	user_id, kullanıcı sohbetlerinden çıkarılan özet metin (AI üretimi), oluşturulma tarihi	Premium AI Rehber rolling memory — son bağlamdan özet (K20)	Sözleşmenin ifası (m.5/2-c); açık rıza (özetin özel nitelikli unsur içerebilmesi nedeniyle — `[avukat değerlendirir]`)	Hesap silmeye kadar; hard delete
Hizmet kaydı — EAA	`public.eaa_entitlements`, `public.eaa_appointments`, `public.eaa_available_slots`	user_id, abonelik dönemi, randevu zamanı, ritüel başlangıç/bitiş zamanları, “Hazırım” onayı, kullanıcı form verisi (`user_form_data` jsonb — SOT §10 7 maddelik form: kişisel sorgu konuları, sağlık/duygu/yaşam alanı bilgileri)	Enerjetik Alan Analizi (1-1 hizmet) randevu yönetimi, analiz hazırlığı, hizmet ifası	Sözleşmenin ifası (m.5/2-c); özel nitelikli veri içerebilen form alanları için açık rıza (m.6/3)	Hesap silmeye kadar; hard delete (K17). Hizmet niteliği ve muhasebe/vergi yükümlülükleri kapsamında belirli alanlar `[avukat — TTK/VUK saklama yükümlülüğü değerlendirmesi]` uyarınca anonimleştirilerek tutulabilir
Hizmet kaydı — EAA PDF	Supabase Storage bucket `eaa-pdfs/`	Deniz Hanım tarafından yüklenen, kullanıcıya teslim edilen PDF analiz dosyası	EAA hizmeti çıktısının kullanıcıya iletilmesi	Sözleşmenin ifası (m.5/2-c)	Kullanıcı silmedikçe saklanır (K13). Hesap silindiğinde kullanıcının PDF dosyaları da silinir (30 gün grace sonrası)
Ödeme / abonelik	`public.revenuecat_events_seen`	RevenueCat event_id, event_type, app_user_id, alındığı zaman, durum	Apple StoreKit / Google Play satın alma doğrulaması, abonelik yaşam döngüsü (idempotent webhook) — K14	Sözleşmenin ifası (m.5/2-c); kanunlarda öngörülen haller (m.5/2-a — TTK, VUK)	`[avukat — TTK/VUK uyarınca 10 yıl saklama yükümlülüğü değerlendirmesi]`
Reklam ödülü — ledger	`public.ad_reward_credits`	user_id, ödül tipi, AdMob transaction_id, ad_unit, granted_at, expires_at, consumed_at, SSV metadata	AdMob ödüllü reklam server-side doğrulaması (K19), günlük limit kontrolü, idempotent kredi defteri	Sözleşmenin ifası (m.5/2-c); meşru menfaat (m.5/2-f — abuse engelleme)	Hesap silmeye kadar; hard delete. Aktif kredi süresi: 24 saat
İletişim — push	`public.device_tokens`	user_id, FCM cihaz token’ı, platform (ios/android), son_seen_at	FCM v1 üzerinden push bildirimi gönderimi (K18)	Sözleşmenin ifası (m.5/2-c); pazarlama nitelikli bildirimler için açık rıza (`[avukat — pazarlama vs. servis bildirimi ayrımı]`)	Token geçersiz olana veya hesap silinene kadar
İletişim — push	`public.notification_log`	user_id, template_code, sent_at, status, error, data_override, fcm_response	Bildirim gönderim takibi, başarısızlık teşhisi	Meşru menfaat (m.5/2-f)	`[avukat onayı — varsayım 90 gün]`
KVKK işlem kaydı	`public.account_deletion_queue`	user_id, talep zamanı, planlanan hard delete zamanı, status, sebep, iptal/tamamlanma zamanı	KVKK m.7/m.11 kapsamında silme talebi yönetimi (K17 — 30 gün grace)	Kanuni yükümlülük (m.5/2-a — KVKK m.7, m.11)	İşlem tamamlandıktan sonra denetim izi olarak `[avukat — 10 yıl saklama önerisi; TBK zamanaşımı]`
KVKK işlem kaydı	`public.data_export_jobs`	user_id, talep zamanı, status, dosya yolu (`data-exports/{user_id}/{job_id}.json`), dosya boyutu, expires_at	KVKK m.11/(b),(d) kapsamında veri taşıma (JSON export), SHA-256 bütünlük hash’i, 7 günlük imzalı URL — K17	Kanuni yükümlülük (m.5/2-a)	İşlem tamamlandıktan sonra denetim izi olarak `[avukat — 10 yıl saklama önerisi]`; dosya 7 gün sonra otomatik silinir
KVKK işlem kaydı	`public.deletion_requests`	user_id, talep tipi, status, grace_until, export_url, scope	Silme / kısmi silme taleplerinin tarihçesi	Kanuni yükümlülük (m.5/2-a)	`[avukat — denetim izi 10 yıl]`
Denetim izi	`public.audit_log`	actor_user_id, actor_role, action (örn. `eaa.analysis.created`, `user.data.deleted`, `iap.entitlement.granted`, `ad.ssv.signature_failed`), resource_type/id, metadata jsonb, IP adresi, user_agent	KVKK m.12 veri güvenliği — yetkisiz erişim, manipülasyon ve abuse forensics tespiti	Meşru menfaat (m.5/2-f); kanuni yükümlülük (KVKK m.12)	730 gün (2 yıl) (TEKNIK 3.11; müşteri/avukat onayı bekler, K17). pg_cron nightly DELETE (migration 0023)
Teknik	`auth.users` üzerinden Supabase Auth	IP adresi (oturum açma logları), user-agent	Güvenlik, abuse tespiti	Meşru menfaat (m.5/2-f)	Supabase Auth varsayılan saklama süreleri uyarınca

Belirgin biçimde toplanmayan veri kategorileri. Zenyra; doğum tarihi/yeri, doğum saati, doğum haritası, biyometrik veri, kesin coğrafi konum, kişiler/rehber, fotoğraf/galeri, mikrofon kaydı, sağlık cihazı verisi, kredi kartı numarası toplamaz. Ödeme verileri Apple/Google StoreKit & Play Billing katmanında işlenir; Zenyra yalnızca abonelik durumu (active / cancelled / expired) bilgisini RevenueCat üzerinden alır.

Çocuk verisi. Zenyra 18 yaş ve üzeri yetişkin kullanıcılara yöneliktir. 18 yaş altı bireyler uygulamayı kullanamaz; bilerek 18 yaş altı veri işlenmez. 18 yaş altı bir bireye ait verinin işlendiğinin tespiti hâlinde veri derhâl silinir.

3. Kişisel Veri İşleme Amaçları

KVKK m.10/(c) kapsamında veriler aşağıdaki amaçlarla işlenir:

Hesap ve oturum yönetimi — kayıt, giriş, parola sıfırlama, kimlik doğrulama
Hizmetin sunulması — ZENYRA Kartları, I Ching, Sarkaç, AI Rehber, Meditasyon ses içerikleri, Enerjetik Alan Analizi (EAA) modüllerinin işletilmesi
Premium abonelik yönetimi — RevenueCat üzerinden Apple/Google IAP doğrulaması, entitlement güncelleme, sona erme bildirimleri
Kullanıcı geçmişi — kart/I Ching/Sarkaç çekimlerinin ve AI sohbetlerinin kullanıcıya geri sunulması, “AI hafıza” özelliği (Premium, K20)
Bildirim iletişimi — günün çağrısı, modül hatırlatmaları, EAA randevu/teslim bildirimleri (K18)
Ödüllü reklam ekonomisi — AdMob server-side reward doğrulaması, günlük 5 reklam limiti, idempotent kredi defteri (K19)
Güvenlik ve abuse engelleme — kota aşımı tespiti, AdMob SSV imza doğrulama, denetim izi (audit log)
Yasal yükümlülüklere uyum — KVKK m.11 hakları, m.12 veri güvenliği, m.16 VERBİS, App Store / Play Store politikaları, vergi-muhasebe mevzuatı (TTK/VUK)
Hizmet kalitesi — uygulama hatalarının teşhisi ([Sentry/PostHog — ertelendi; ileride etkinleştirildiğinde bu metin güncellenir])

4. Kişisel Verilerin Üçüncü Taraflarla Paylaşımı

KVKK m.8 (yurt içi aktarım) ve m.9 (yurt dışı aktarım) kapsamında veriler, yalnızca aşağıda sayılan amaçlarla, gerekli ölçüde ve sözleşmesel/teknik güvenlik tedbirleri alınmış olarak paylaşılır. Zenyra kişisel verileri pazarlama amacıyla üçüncü taraflara satmaz.

Alıcı	Ülke / bölge	Aktarılan veri	Amaç	KVKK m.9 dayanağı
Supabase Inc. (altyapı sağlayıcı)	AB / Almanya — Frankfurt (eu-central-1)	Tüm uygulama verisi (Postgres + Storage + Auth + Edge Functions)	Veritabanı, kimlik doğrulama, dosya depolama, sunucusuz işlev (Edge Functions) hizmetleri	Açık rıza (m.9/1); yeterli koruma sağlanan ülke kararı bulunmadığı sürece taahhütname / SCC `[avukat — Supabase DPA + SCC değerlendirmesi]`
Anthropic, PBC (AI sağlayıcı — varsayılan)	ABD	AI Rehber kullanıcı mesajları, sistem prompt, AI hafıza özet metni	AI yanıt üretimi (Claude modeli; K11/K12) — Edge Function üzerinden proxy	Açık rıza (m.9/1) `[avukat — Anthropic DPA değerlendirmesi]`
Google LLC — Gemini API (AI sağlayıcı — alternatif)	ABD / AB	AI Rehber kullanıcı mesajları, sistem prompt	AI yanıt üretimi (Gemini modeli; K12 — `AI_PROVIDER` env ile seçilir)	Açık rıza (m.9/1) `[avukat — Google Cloud DPA değerlendirmesi]`
RevenueCat, Inc.	ABD	App user id, satın alma event’leri, abonelik durumu	Apple/Google IAP yaşam döngüsü doğrulaması (K14)	Açık rıza (m.9/1)
Google LLC — Firebase Cloud Messaging (FCM)	ABD / AB	FCM cihaz token’ı, bildirim mesaj içeriği, kullanıcı UUID (data payload)	Push bildirimi iletimi (K18)	Açık rıza (m.9/1)
Google LLC — AdMob	ABD / AB	Reklam görüntüleme/tıklama olayları, AdMob reklam kimliği (kullanıcı bazlı reset edilebilir), SSV imza doğrulama metadata	Ödüllü reklam dağıtımı ve server-side verification (K19)	Açık rıza (m.9/1)
Apple Inc.	ABD / AB	StoreKit satın alma verisi, App Store inceleme süreci verisi	Uygulama dağıtımı, IAP işlemi (uygulama Apple platformunda çalıştığı için zorunlu)	Açık rıza (m.9/1); sözleşmenin ifası (m.5/2-c)
Google LLC — Google Play	ABD / AB	Play Billing satın alma verisi, Play Console inceleme süreci verisi	Uygulama dağıtımı, IAP işlemi (uygulama Google Play platformunda çalıştığı için zorunlu)	Açık rıza (m.9/1); sözleşmenin ifası (m.5/2-c)
Yetkili kamu otoriteleri	Türkiye	İlgili mevzuat çerçevesinde talep edilen veri	Hukuki yükümlülüğün ifası (mahkeme/savcılık/KVK Kurulu talebi)	Kanunlarda açıkça öngörülmesi (m.5/2-a)
Sentry GmbH (ertelendi)	AB / Almanya	Hata kayıtları, anonimleştirilmiş crash trace	Crash / hata teşhisi	İlerideki entegrasyonda açık rıza alındıktan sonra; şu an kapalı
PostHog Inc. (ertelendi)	AB / ABD	Ürün kullanım olayları, anonimleştirilmiş telemetri	Ürün kullanım analitiği	İlerideki entegrasyonda açık rıza alındıktan sonra; şu an kapalı

Sentry ve PostHog entegrasyonları kodda hazırdır ancak üretimde etkin değildir. Etkinleştirildiğinde bu Gizlilik Politikası ve KVKK Aydınlatma Metni güncellenir, kullanıcıya bildirim yapılır ve gerektiğinde yeni açık rıza alınır.

5. Yurt Dışına Veri Aktarımı (KVKK m.9)

Yukarıdaki tabloda ABD veya AB ülkelerine aktarım yapıldığı belirtilen alıcılar bakımından, Zenyra:

KVK Kurulu tarafından yayımlanan yeterli korumaya sahip ülkeler listesine göre değerlendirme yapar ([avukat — güncel liste kontrolü]).
Yeterli koruma bulunmayan ülkeler için standart sözleşme (KVK Kurulu tarafından yayımlanan tip metin) veya taahhütname ile aktarım yapar; bu sözleşmeler KVK Kuruluna bildirilir ([avukat — taahhütname taslakları hazırlanmalı]).
Aktarımın gerçekleştirilebilmesi için ilgili kişiden ayrıca açık rıza alır (kayıt akışında ve Açık Rıza Beyanı’nda).
Sözleşmesel olarak alıcının teknik ve idari güvenlik tedbirleri (şifreleme, erişim kontrolü, denetim) almasını şart koşar ([avukat — DPA standartları]).

6. Veri Güvenliği Önlemleri (KVKK m.12)

Zenyra aşağıdaki teknik ve idari önlemleri uygular:

Teknik:

Row Level Security (RLS). Tüm kullanıcı verileri Postgres seviyesinde RLS politikalarıyla korunur (TEKNIK 3.10). Kullanıcı yalnızca kendi user_id’sine ait kayıtlara erişebilir; admin paneli üzerinden erişim yetki rollerine (admin / super_admin) bağlıdır ve JWT app_metadata.role claim’i ile doğrulanır. Service role anahtarı yalnızca sunucu tarafında bulunur; mobil/web istemcilere asla ifşa edilmez.
Encrypted at rest. Supabase Postgres ve Storage verileri AES-256 ile durağan halde şifrelidir.
Encrypted in transit. Tüm mobil/web ↔ Supabase trafiği TLS 1.2+ ile şifrelenir.
Signed URL. EAA PDF dosyaları, ses içerikleri ve veri export JSON dosyaları yalnızca süre kısıtlı imzalı URL üzerinden erişilebilir (varsayılan: 7 gün — data-exports/).
AdMob SSV ECDSA + HMAC. Reklam ödülleri server-side ECDSA imza doğrulaması + HMAC custom_data koruması (24 saatlik replay penceresi, 60 saniye future-clock toleransı) ile manipülasyona karşı korunur (K19, PR-12).
Audit log (audit_log tablosu). Hassas işlemler (EAA admin müdahale, hesap silme, IAP entitlement, AdMob SSV anomalileri) 730 gün boyunca denetim izi olarak tutulur (TEKNIK 3.11). Audit log’a yalnızca service_role ve super_admin rolü erişebilir.
Atomic counter. AI mesaj kotası ON CONFLICT DO UPDATE ile atomic kontrol edilir; race condition saldırılarına dirençlidir (TEKNIK 2.5).
Şifre hash. Parolalar bcrypt ile hash’lenir (Supabase Auth varsayılanı); açık metin saklanmaz.
OAuth. Google/Apple ile giriş seçeneklerinde OIDC akışı kullanılır (K15); Zenyra parola depolamaz.

İdari:

Personel erişimi en az yetki ilkesiyle sınırlandırılır (admin, super_admin rolleri ayrı).
Geliştirici ortamında gerçek kullanıcı verisi kullanılmaz; test seed verisiyle çalışılır (K16).
KVKK farkındalık eğitimi [avukat / İK — uygulama planı].
Veri ihlali müdahale prosedürü [avukat — KVK Kurulu 72 saat bildirim yükümlülüğü kapsamında prosedür hazırlanmalı].

7. Saklama Süreleri ve İmha

Veri kategorisi bazlı saklama süreleri Bölüm 2’deki tabloda gösterilmiştir. Genel ilkeler:

Hesap silme talebi (KVKK m.11 / K17): 30 günlük grace period sonunda pg_cron nightly job ile hard delete. Grace süresinde kullanıcı giriş yapamaz ve talebini iptal edebilir. Hard delete tamamlandığında profil, kart/I Ching/Sarkaç geçmişi, AI sohbetleri, EAA randevu/PDF kayıtları, push token’ları, AI hafıza özetleri ve ödül kredilerinin tamamı silinir.
audit_log: 730 gün (taslak; müşteri/avukat onayı bekler). 730 günden eski kayıtlar audit_log_purge_pgcron (migration 0023) ile silinir.
ai_messages: 90 gün (taslak; müşteri onayı bekler). Daha eski mesajlar pg_cron ile silinir.
EAA PDF: Kullanıcı silmedikçe saklanır; hesap silindiğinde kullanıcı dosyaları temizlenir.
Veri export JSON dosyası: 7 gün sonra imzalı URL geçersizleşir; storage objesi silinir.

İmha yöntemleri:

Silme: Hard delete (DELETE FROM … CASCADE) — referansiyel bütünlük zinciri otomatik temizlenir.
Yok etme: Storage objelerinin Supabase tarafında kalıcı silinmesi.
Anonim hale getirme: Aggregate analytics için [avukat — uygulanırsa].

Saklama ve imha politikası, KVK Kurulu tebliği gereğince ayrıca “Kişisel Veri Saklama ve İmha Politikası” başlıklı iç doküman olarak hazırlanır (docs/legal/kvkk-saklama-imha.md — [avukat tarafından düzenlenecek]).

8. İlgili Kişinin Hakları (KVKK m.11)

Veri Sahibi, KVKK m.11 uyarınca veri sorumlusuna başvurarak;

a) Kişisel verisinin işlenip işlenmediğini öğrenme, b) Kişisel verisi işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verisinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verisinin aktarıldığı üçüncü kişileri bilme, d) Kişisel verisinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) KVKK m.7’de öngörülen şartlar çerçevesinde kişisel verisinin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verinin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verisinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verisinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahiptir.

9. Veri Sahibi Başvurusu

İlgili kişi, KVKK m.13 ve “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” uyarınca aşağıdaki yollarla başvurabilir:

Kanal	Bilgi
Uygulama içi — hızlı yol	Profil → Hesap → “Verilerimi indir” ve “Hesabımı sil” akışları (KVKK m.11/(b),(d),(e) için self-service; K17)
E-posta	`[iletişim e-postası, örn. privacy@zenyra.net]`
Yazılı / posta	`[şirket adresi buraya]`
KEP	`[KEP adresi varsa buraya]`
Şahsen başvuru	`[şirket adresi buraya]`

Başvurunun aşağıdaki bilgileri içermesi gerekir: ad-soyad, T.C. kimlik numarası (Türk vatandaşları için) veya pasaport numarası (yabancılar için), tebligata esas yerleşim/iş yeri adresi, varsa e-posta/telefon, talep konusu.

Veri sorumlusu, başvuruyu en geç 30 gün içinde ücretsiz olarak sonuçlandırır. İşlemin ayrıca bir maliyet gerektirmesi hâlinde KVK Kurulu tarafından belirlenen tarifedeki ücret talep edilebilir.

Self-service akışta veri export işlemi tamamlandığında kullanıcıya 7 günlük imzalı URL ile JSON dosyası iletilir; dosya SHA-256 bütünlük hash’i içerir. Hesap silme talebinde 30 günlük grace period uygulanır.

10. KVK Kuruluna Şikâyet Hakkı

İlgili kişi, KVKK m.14 uyarınca veri sorumlusuna yaptığı başvurunun reddedilmesi, verilen cevabı yetersiz bulması veya 30 gün içinde cevap verilmemesi hâlinde; veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 gün ve her hâlde başvuru tarihinden itibaren 60 gün içinde Kişisel Verileri Koruma Kuruluna şikâyette bulunma hakkına sahiptir.

KVK Kurulu iletişim: https://www.kvkk.gov.tr — başvuru formu Kurul tarafından yayımlanmıştır.

11. Çocukların Verisi

Zenyra 18 yaş ve üzeri yetişkin bireylere yönelik bir uygulamadır. Kayıt akışında yaş kapısı (age gate) uygulanır ve kullanıcı 18 yaşını doldurduğunu beyan eder. 18 yaş altı bireylere ait kişisel veri bilerek toplanmaz, işlenmez ve aktarılmaz. 18 yaş altı bir bireye ait veri tespit edilmesi hâlinde veri derhâl silinir; ebeveynler veya yasal temsilciler [iletişim e-postası] adresinden bildirim yapabilir.

12. Çerez ve Benzeri Teknolojiler

Zenyra mobil uygulamasında klasik anlamda “web çerezi” kullanılmaz. Ancak:

Yerel oturum saklama. Supabase Auth oturum tokenı cihazın güvenli depolamasında (iOS Keychain / Android Keystore) tutulur.
Cihaz tanımlayıcısı. FCM token’ı (push) ve AdMob reklam kimliği (kullanıcı tarafından cihaz ayarlarından sıfırlanabilir) işlenir.
Yerel önbellek. Meditasyon ses içerikleri kullanıcı tarafından çevrimdışı dinlenmek üzere cihaz depolamasında geçici olarak önbelleğe alınabilir; cihazdaki bu önbellek kullanıcı tarafından silinebilir.

13. Otomatik Karar Verme ve Profilleme

Zenyra, kullanıcı aleyhine sonuç doğurabilecek otomatik karar verme sistemleri kullanmaz. AI Rehber, ZENYRA Kartları ve I Ching modüllerinin içerikleri spiritüel rehberlik amaçlıdır; hukuki, finansal, tıbbi veya istihdam kararı niteliği taşımaz. Kart seçim algoritması (TEKNIK 3.2) kullanıcı geçmişine göre ağırlıklandırılmış rastgele seçim yapar; bu profilleme yalnızca deneyim kişiselleştirme amaçlı kullanılır.

14. Politika Değişiklikleri

Bu Gizlilik Politikası, mevzuat değişiklikleri, ürün geliştirmeleri veya KVK Kurulu kararları doğrultusunda güncellenebilir. Önemli değişiklikler:

Uygulama içi banner / modal ile kullanıcıya bildirilir,
Push bildirimi ile duyurulur (K18 — notification_templates üzerinden),
Bu sayfanın en üstündeki Versiyon ve Son güncelleme alanları güncellenir.

Yeni veri kategorisi eklenmesi veya yeni üçüncü taraf aktarımı yapılması hâlinde, gerekirse yeniden açık rıza istenir. Önceki açık rızalar geri alınana kadar geçerlidir; ilgili kişi her zaman açık rızasını geri alabilir.

15. İletişim

Bu metin hakkında soru, görüş veya başvurular için:

E-posta: [iletişim e-postası, örn. privacy@zenyra.net]
Adres: [şirket adresi buraya]
KEP: [KEP adresi varsa buraya]

Placeholders (Eren / müşteri / avukat dolduracak)

Eren / müşteri (kurumsal bilgi):

[şirket ünvanı buraya] — veri sorumlusu ticari ünvan
[şirket adresi buraya] — KEP/tebligat adresi
[MERSIS no / vergi no buraya]
[VERBİS kayıt no buraya]
[KVKK irtibat kişisi ad-soyad / unvan]
[iletişim e-postası] — privacy@… veya kvkk@…
[KEP adresi varsa buraya]

Avukat (hukuki değerlendirme):

audit_log 730 gün ve ai_messages 90 gün retention süreleri — net onay
Özel nitelikli kişisel veri kapsamı: AI sohbet serbest metni, EAA user_form_data, kart “AI ile Derinleştir” metni, I Ching user_question — bu serbest metinlerin KVKK m.6 özel nitelikli veri olarak değerlendirilip değerlendirilmeyeceği, açık rıza gerekip gerekmediği
TTK/VUK saklama yükümlülükleri: RevenueCat ödeme event verisi, EAA randevu verisi, deletion/export işlem izleri (10 yıl saklama önerisi)
KVKK m.9 yurt dışı aktarım için Supabase / Anthropic / Google / RevenueCat DPA + SCC değerlendirmesi
KVK Kurulu yeterli koruma sağlayan ülkeler güncel listesi
Veri ihlali müdahale prosedürü (KVK Kurulu 72 saat bildirim yükümlülüğü)
“Kişisel Veri Saklama ve İmha Politikası” ayrı dokümanı (docs/legal/kvkk-saklama-imha.md)
FCM push token / AdMob reklam kimliği için pazarlama vs. servis bildirimi ayrımı ve açık rıza gereği
notification_log retention süresi (varsayım 90 gün — onay)

Store-submit zamanı:

Apple App Privacy Nutrition Labels ve Google Play Data Safety form metinleri — bkz. docs/legal/store/

İlgili kanonik kaynaklar

docs/SOT.md §2 (dil rehberi), §9 (modüller), §10 (EAA), §11 (bildirim — K18), §12 (Premium / IAP), §13 (Yasal ve Sağlık Beyanı), §17 (açık konular)
docs/TEKNIK_KARARLAR.md §3.10 (RLS rol modeli), §3.11 (audit log retention 730 gün), §7.11 (KVKK paketi K17 — soft delete, JSON export, retention), §7.12 (FCM K18), §7.13 (AdMob SSV K19), §7.14 (AI memory K20), §7.8 (RevenueCat K14)
CLAUDE.md — K11 (Supabase Edge Functions), K12 (AI provider abstraction), K13 (EAA PDF upload), K14 (RevenueCat), K17 (KVKK paketi), K18 (FCM), K19 (AdMob), K20 (Premium rolling memory)
Supabase migrations: infra/supabase/migrations/0001-0030 — gerçek veri envanteri kaynağı
İlgili Edge Functions: infra/supabase/functions/account-delete/, data-export/, ai-message/, admob-ssv/, push-trigger/, revenuecat-webhook/

Çapraz referanslar (henüz hazır değil — taslak)

docs/legal/kvkk-aydinlatma.md — KVKK m.10 aydınlatma metni (kayıt akışında sunulur)
docs/legal/kvkk-acik-riza.md — m.6/m.9 açık rıza beyanı (özel nitelikli veri ve yurt dışı aktarım için)
docs/legal/terms.md — Kullanım Koşulları
docs/legal/disclaimer.md — Sorumluluk Reddi
docs/legal/subscription-terms.md — Abonelik Şartları
docs/legal/eaa-service-terms.md — EAA Hizmet Kuralları
docs/legal/kvkk-saklama-imha.md — Saklama ve İmha Politikası (avukat tarafından hazırlanacak)