⚖️ Avukat onayı gerekir. Bu metin Zenyra ekibinin hazırladığı taslaktır; yayınlanmadan önce iç hukuk inceleme yapılmalıdır. Eksik veya yanlış unsur tespit edilirse
docs/legal/altındaki ilgili dosya güncellenir, avukat re-review eder. Versiyon: v0.1 · Son güncelleme: 2026-05-18 · Durum: taslak
Zenyra — KVKK Aydınlatma Metni
(6698 sayılı Kişisel Verilerin Korunması Kanunu m.10 — “Veri sorumlusunun aydınlatma yükümlülüğü” uyarınca hazırlanmıştır.)
İşbu Aydınlatma Metni, Zenyra mobil uygulamasını (bundan sonra “Uygulama”) ve buna bağlı web yönetim panelini kullanan gerçek kişilerin (bundan sonra “Veri Sahibi” veya “Kullanıcı”) kişisel verilerinin işlenmesine ilişkin olarak; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 10. maddesi çerçevesinde sizleri bilgilendirmek amacıyla düzenlenmiştir. Uygulamayı kullanarak işbu metinde belirtilen koşullar hakkında bilgilendirilmiş olduğunuzu kabul edersiniz.
Uygulama yalnızca 18 yaş ve üzeri kullanıcılara yöneliktir. 18 yaş altı kullanıcılara hizmet sunulmamaktadır; bu nedenle veli/vasi rızası kapsamında çocuk kişisel verisi işlenmemektedir.
1. Veri Sorumlusunun Kimliği
KVKK’nın 3/1-(ı) maddesi uyarınca veri sorumlusu sıfatıyla aşağıdaki bilgilere sahip tüzel/gerçek kişi tarafından kişisel verileriniz işlenmektedir.
| Bilgi | Değer |
|---|---|
| Ticari ünvan | [şirket ünvanı buraya — Eren teyit edecek] |
| MERSİS no | [MERSİS no buraya] |
| Vergi dairesi / Vergi no | [vergi dairesi ve vergi no buraya] |
| Adres | [şirket adresi buraya] |
| VERBİS kayıt no | [VERBİS kayıt no buraya — KVK Kurumu Veri Sorumluları Sicili'ne kayıtlıysa] |
| KEP adresi | [KEP adresi buraya, varsa] |
| İletişim e-postası | [iletişim e-postası, örn. kvkk@zenyra.net] |
| Web | [varsa web sitesi, örn. https://zenyra.net] |
Not (taslak): VERBİS kayıt zorunluluğu, yıllık çalışan sayısı ve ciro eşiklerine bağlıdır (KVK Kurulu kararı 2018/68 ve müteakip güncellemeler). Yükümlülük durumu avukat tarafından teyit edilmelidir; kayıt zorunluluğu bulunmuyorsa “Veri Sorumluları Sicili’ne kayıt zorunluluğu bulunmamaktadır” ifadesi eklenir.
2. İşlenen Kişisel Veri Kategorileri
Uygulama, KVKK m.6/1 anlamında genel nitelikli ve duruma göre özel nitelikli kişisel verileri işleyebilir. Aşağıdaki tablo, ürünün mevcut teknik durumu (Supabase Postgres tabloları, Edge Functions ve mobil/web istemciler) ile birebir uyumludur.
2.1 Kimlik Verileri
- Ad / kullanıcı adı (
profiles.display_name) - E-posta adresi (Supabase
auth.users) - Doğum tarihi (yaş kapısı doğrulaması için, opsiyonel — kullanıcı sağlarsa
profilesüzerinde tutulur) - Yerel dil tercihi (
profiles.locale)
2.2 İletişim Verileri
- E-posta adresi (kayıt akışında zorunlu)
- Telefon numarası (opsiyonel — KVKK m.5/1 açık rıza ile pazarlama izni verildiyse)
- Push bildirim cihaz token’ı (
device_tokens.token— kullanıcı bildirim açtığında)
2.3 Müşteri İşlem ve Hizmet Kullanım Verileri
- ZENYRA Kart çekim geçmişi (
card_pulls) - I Ching atış geçmişi (
iching_history) - ZENYRA Sarkaç oturum geçmişi (
pendulum_history— sonuç, bekleme süresi) - AI Rehber sohbet mesajları (
ai_messages— kullanıcı ve asistan turları; token sayıları; konuşma kümeleri) - AI hafıza özetleri (
ai_memory_summaries— Premium kullanıcılar için rolling özet, Free kullanıcılarda işlenmez) - AI mesaj kullanım sayaçları (
message_counts— günlük kota takibi) - Günlük mesaj kotası reklam bonusları (
ad_reward_credits) - Enerjetik Alan Analizi (EAA) randevuları (
eaa_appointments— randevu zamanı, durum, kullanıcının doldurduğu form) - EAA hak yönetimi (
eaa_entitlements— Premium dönemiyle bağlı aylık hak) - EAA analiz PDF dosyaları (Supabase Storage
eaa-pdfs/bucket) - IAP / abonelik geçmişi ve
revenuecat_events_seenüzerinden gelen abonelik durumu güncellemeleri - Ses içeriği dinleme geçmişi (varsa
audio_listens)
2.4 Kullanım, Teknik ve Log Verileri
- Bildirim gönderim kayıtları (
notification_log— gönderim durumu, hata) - Hassas işlem denetim kayıtları (
audit_log— kim, ne zaman, hangi kaynak; IP adresi ve user-agent dahil) - Cihaz platformu (iOS / Android —
device_tokens.platform) - Hesap silme talepleri (
account_deletion_queue) - Veri indirme talepleri (
data_export_jobs) - Anonimleştirilmiş kullanım/hata teşhis verileri (varsa Sentry/PostHog gibi araçlar — şu an yapılandırılmış ancak ücretli kademe kararı müşteriye bırakılmıştır; aktif olduğu dönemde bu metin güncellenecektir)
2.5 EAA Formu — Kullanıcı Beyan Verileri
EAA randevusu oluşturulurken kullanıcının doldurduğu serbest metin alanları (eaa_appointments.user_form_data):
- Şu an en çok zorlandığı alan
- Son dönemde tekrar eden döngüler
- İlişki durumu
- Duygusal yoğunluk alanı
- Bedensel sıkışma hissi
- Görmek istediği konu
- Açık mesaj alanı
Bu alanlar kullanıcının kendi beyanına dayalıdır; serbest metin nitelikleri gereği zaman zaman özel nitelikli kişisel veri çağrışımı yapan bilgiler içerebilir (aşağıya bakınız).
2.6 Özel Nitelikli Kişisel Veri Değerlendirmesi (KVKK m.6)
Zenyra, KVKK m.6/1 kapsamında din, mezhep, felsefi inanç ve sağlık verileri başta olmak üzere özel nitelikli kişisel verileri doğrudan ve sistematik olarak toplamayı amaçlamaz. Bununla birlikte:
- AI Rehber sohbetlerinde, ZENYRA Sarkaç / Kart / I Ching modüllerinde ve EAA formunda kullanıcı serbest metin ile beyanda bulunduğundan; ruhsal/manevi durum, inanç temelli ifadeler, fiziksel veya psikolojik iyilik haline ilişkin değiniler dolaylı yoldan işlenmiş olabilir.
- Zenyra spiritüel rehberlik içerikleri sunar; bu içerikler tıbbi teşhis, psikolojik tedavi veya sağlık verisi toplama amacı taşımaz. (Bkz. Kullanım Koşulları ve Sorumluluk Reddi.)
- Bu nedenle özel nitelikli veri işleme için KVKK m.6/2 uyarınca açık rıza alınması esas alınmıştır. Açık rıza beyanı için bkz.
docs/legal/kvkk-acik-riza.md(KVKK Açık Rıza Beyanı). - Kullanıcı, AI Rehber ve EAA formu gibi serbest alanlarda sağlık, cinsel yönelim, etnik köken veya inanç bilgisi paylaşmamayı tercih edebilir; paylaşmadığında hizmet sunulmaya devam edilir.
Taslak notu (avukat onayı gerekir): Zenyra’nın spiritüel içerik niteliği gereği “ruhsal/manevi durum” beyanlarının KVKK m.6 kapsamında “felsefi inanç” verisi sayılıp sayılmayacağı hukuki yorum konusudur. İşbu metinde açık rıza yolu öngörülmüş; bu yaklaşım iç hukuk inceleme sonucunda revize edilebilir.
3. Kişisel Verilerin İşlenme Amaçları
Kişisel verileriniz, aşağıdaki amaçlar doğrultusunda KVKK m.4 genel ilkeleri (hukuka ve dürüstlük kuralına uygunluk; doğruluk ve güncellik; belirli, açık ve meşru amaçlar; amaçla bağlantılı, sınırlı ve ölçülü olma; ilgili mevzuatta öngörülen veya işleme amacının gerektirdiği süre kadar muhafaza) çerçevesinde işlenir.
3.1 Sözleşmenin Kurulması ve İfası (KVKK m.5/2-c)
- Kullanıcı hesabının açılması, kimliğin doğrulanması, oturum yönetimi
- Premium aboneliğin (RevenueCat ile entegre IAP) ve EAA hakkının yönetilmesi
- EAA randevusunun oluşturulması, randevu hatırlatmalarının iletilmesi, ritüel sürecinin yönetilmesi ve analiz PDF’inin teslim edilmesi
- AI Rehber, ZENYRA Kartları, I Ching, ZENYRA Sarkaç ve Zenyra Meditasyon modüllerinin kullanıma sunulması
- Kullanım kotalarının (örn. günlük AI mesaj limiti) takip edilmesi
3.2 Hukuki Yükümlülüklerin Yerine Getirilmesi (KVKK m.5/2-ç)
- Vergi, ticari defter ve elektronik ticaret mevzuatı kapsamındaki saklama yükümlülükleri
- KVKK m.11 kapsamındaki Veri Sahibi taleplerine yanıt verilmesi ve sürecin denetlenebilirliği için
audit_logveaccount_deletion_queue/data_export_jobskayıtlarının tutulması - Yetkili kamu kurum ve kuruluşlarından gelen, mevzuata uygun resmi taleplerin karşılanması
3.3 Veri Sorumlusunun Meşru Menfaati (KVKK m.5/2-f)
- Hizmet kalitesinin iyileştirilmesi, hata ayıklama, performans izleme (anonimleştirilmiş düzeyde)
- Sahtecilik, kötüye kullanım ve hizmet manipülasyonunun tespiti (AdMob SSV doğrulama kayıtları, AI rate limit ihlal denemeleri vb. —
audit_logüzerinden) - Bilgi güvenliği süreçlerinin yürütülmesi (RLS politikası ihlal denemeleri, anormal erişim örüntüleri)
3.4 Bir Hakkın Tesisi, Kullanılması veya Korunması (KVKK m.5/2-e)
- Hukuki uyuşmazlık ve şikayetlere ilişkin delil oluşturulması ve saklanması
- Tüketici hukuku ve elektronik ticaret mevzuatı kapsamında doğacak taleplerin karşılanması
3.5 Açık Rıza Kapsamında İşleme (KVKK m.5/1, m.6/2 ve m.9)
Aşağıdaki işleme faaliyetleri yalnızca Veri Sahibi’nin açık rızası alındığında gerçekleştirilir (ayrıntı: docs/legal/kvkk-acik-riza.md):
- Özel nitelikli kişisel veri çağrışımı yapabilecek serbest metin alanlarındaki beyanların işlenmesi (AI Rehber sohbeti, EAA formu, Sarkaç “AI ile Derinleştir” yanıtları)
- Pazarlama ve tanıtım amaçlı push bildirimleri, e-posta gönderileri (transactional/işlemsel bildirimler hariç)
- Kişisel verilerin yurt dışına aktarımı (Bölüm 5’e bakınız)
4. Kişisel Verilerin Aktarılabileceği Taraflar
Kişisel verileriniz, yukarıda belirtilen amaçlar doğrultusunda KVKK m.8 (yurt içi aktarım) ve KVKK m.9 (yurt dışı aktarım) hükümleri çerçevesinde; aşağıdaki taraflara aktarılabilir.
4.1 Hizmet Sağlayıcılar ve Veri İşleyenler
| Hizmet Sağlayıcı | Amaç | Aktarım Yeri | Hukuki Sebep |
|---|---|---|---|
| Supabase Inc. (veritabanı, kimlik doğrulama, depolama, Edge Functions) | Veri barındırma ve hizmet altyapısı | Frankfurt, Almanya — eu-central-1 (AB içi) | Sözleşmenin ifası + KVKK m.9/1 (kural olarak AB içinde yeterli koruma) |
| Anthropic, PBC (Claude AI modelleri) | AI Rehber yanıtlarının üretimi (kullanıcı AI_PROVIDER=anthropic rotasındaysa) | ABD / AB bölgesi | Açık rıza (KVKK m.9) |
| Google LLC / Google Ireland Ltd. (Gemini AI, Firebase Cloud Messaging, AdMob, Google Play Billing) | AI yanıtları (Gemini rotası), push bildirim teslimi, ödüllü reklam doğrulaması, in-app satın alma | ABD / AB bölgesi | Sözleşmenin ifası + açık rıza |
| Apple Inc. (App Store, StoreKit, Push Notification Service) | Uygulama dağıtımı, abonelik, push bildirim teslimi (iOS) | ABD / AB bölgesi | Sözleşmenin ifası + açık rıza |
| RevenueCat, Inc. | IAP / abonelik durumu yönetimi (webhook ile Supabase’e yansıtılır) | ABD | Sözleşmenin ifası + açık rıza |
| Sentry, PostHog (gözlemlenebilirlik — şu an etkin değil, ücretli tier kararı bekliyor) | Hata izleme, anonimleştirilmiş kullanım ölçümü | ABD / AB bölgesi | Meşru menfaat / açık rıza (aktive edildiğinde) |
4.2 Yurt Dışı Aktarım Hukuki Çerçevesi (KVKK m.9)
- AB içi aktarımlar (Supabase Frankfurt): KVK Kurulu’nun yeterli koruma bulunan ülkeler listesi yayımlandığında AB üyesi devletler için uygulanacak rejim esas alınacaktır. Mevcut durumda yurt dışı aktarım, KVKK m.9/2-(a) açık rıza temelinde gerçekleştirilmektedir.
- AB dışı aktarımlar (ABD merkezli sağlayıcılar): KVK Kurulu tarafından yeterli koruma bulunduğuna karar verilmediği sürece KVKK m.9/2-(a) açık rıza veya KVKK m.9/6 kapsamında standart sözleşme ile aktarım gerçekleştirilir. Standart sözleşme yaklaşımı tercih edildiğinde işbu metin güncellenecektir.
4.3 Yetkili Kamu Kurum ve Kuruluşları
Mahkeme kararı, savcılık talimatı veya yetkili idari makamların hukuka uygun talepleri çerçevesinde, talep edilen kişisel veriler ilgili kuruma aktarılabilir (KVKK m.5/2-ç ve m.8).
4.4 Hukuki / Mali Danışmanlar
Hukuki uyuşmazlık halinde avukat, mali müşavir ve denetçilere; uyuşmazlığın yönetilmesi için gerekli ölçüde aktarım yapılabilir (KVKK m.5/2-e).
5. Kişisel Verilerin Toplanma Yöntemi ve Hukuki Sebebi
Kişisel verileriniz aşağıdaki kanallar aracılığıyla otomatik veya kısmen otomatik yollarla elektronik ortamda toplanır:
- Uygulama (iOS ve Android) içindeki kayıt, oturum açma, profil ve modül ekranları üzerinden Kullanıcı tarafından doğrudan girilen veriler
- Uygulamanın arka uç sistemleriyle (Supabase Edge Functions; AI sağlayıcısı; RevenueCat; FCM; AdMob) entegrasyonu sırasında üretilen log ve telemetri kayıtları
- Push bildirim cihaz kayıtları (
register_device_tokenRPC) - IAP / abonelik webhook’ları (RevenueCat → Supabase)
- AdMob ödüllü reklam Server-Side Verification (SSV) çağrıları
- Bölüm 3’te belirtilen amaçlar doğrultusunda Kullanıcı’nın talep ettiği işlemler (örn. veri indirme, hesap silme)
Hukuki sebepler bakımından her bir işleme amacı, Bölüm 3’te listelenen KVKK m.5 ve m.6 hükümlerine dayanır.
6. Veri Sahibinin KVKK Madde 11 Kapsamındaki Hakları
KVKK m.11 uyarınca her Veri Sahibi, veri sorumlusuna başvurarak kendisiyle ilgili olarak aşağıdaki haklara sahiptir:
a) Kişisel verilerinin işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, e) KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme (KVKK m.7) ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, f) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonuç ortaya çıkmasına itiraz etme, g) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
6.1 Operasyonel Haklar — Uygulama İçi Self-Service (K17)
Zenyra, KVKK m.11 kapsamındaki bazı hakları doğrudan uygulama içinden self-service olarak kullanılabilir kılmıştır:
| Hak | Uygulama içindeki yol | Teknik akış |
|---|---|---|
| Veri indirme (m.11/(a), (b), (ç)) | Profil → “Verilerimi İndir” | Talep data_export_jobs kuyruğuna düşer → 8 tablo (profiles, card_pulls, iching_history, pendulum_history, ai_messages, eaa_appointments, eaa_forms, audio_listens) JSON olarak paketlenir → SHA-256 bütünlük hash’i hesaplanır → Supabase Storage data-exports/{user_id}/{timestamp}.json altında saklanır → Kullanıcıya 7 günlük geçerli signed URL iletilir. |
| Hesap silme (m.11/(e)) | Profil → “Hesabımı Sil” | Talep account_deletion_queue kuyruğuna düşer → 30 günlük grace period boyunca profiles.deleted_at set edilerek soft delete uygulanır (kullanıcı giriş yapamaz, geri alabilir) → 30 gün sonunda pg_cron ile hard delete uygulanır: profil ve tüm kullanıcı verisi (kart/I Ching/sarkaç geçmişleri; AI mesajları; EAA randevuları; cihaz token’ları; vb.) silinir. |
6.2 Başvurunun Yanıtlanma Süresi (KVKK m.13)
KVKK m.13/2 uyarınca başvurunuz, niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırılır. İşlemin ayrıca bir maliyet gerektirmesi hâlinde KVK Kurulu tarafından belirlenen tarifeye göre ücret talep edilebilir.
7. Başvuru Yöntemi
KVKK m.13/1 ve “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” uyarınca, KVKK m.11 kapsamındaki haklarınızı kullanmak için Veri Sorumlusu’na aşağıdaki yollarla başvurabilirsiniz:
- Uygulama içi self-service: Bölüm 6.1’de açıklanan akış (veri indirme ve hesap silme için tavsiye edilen yol).
- E-posta:
[iletişim e-postası — örn. kvkk@zenyra.net]adresine; başvurunuzu açıkça belirten, kimliğinizi doğrulamaya yarayan bilgileri içeren e-posta ile (kayıt e-postanızdan göndermeniz tavsiye edilir). - Yazılı başvuru:
[şirket ünvanı]adına[şirket adresi]adresine ıslak imzalı yazılı dilekçe ile. - KEP:
[KEP adresi, varsa]üzerinden 5070 sayılı Kanun kapsamında güvenli elektronik imzalı belge ile.
Başvurunuzda aşağıdaki bilgilerin yer alması zorunludur:
- Ad, soyad ve başvuru yazılı ise imza
- T.C. kimlik numarası (yabancı kullanıcılar için pasaport / kimlik bilgisi ve uyruk)
- Tebligata esas adres (yazılı başvuru için), varsa e-posta adresi, telefon ve faks numarası
- Talep konusu
Başvurunuz Bölüm 6.2’de belirtilen süre içerisinde değerlendirilerek sonuçlandırılacaktır. Başvurularda yapılan tüm işlemler, denetlenebilirlik amacıyla audit_log üzerinde kayıt altına alınır.
8. KVK Kurulu’na Şikayet Hakkı
KVKK m.14 uyarınca, başvurunuzun reddedilmesi, verilen yanıtın yetersiz bulunması veya süresinde başvuruya yanıt verilmemesi hâlinde; Veri Sahibi, başvuru yolunu tükettikten sonra otuz (30) gün içinde Kişisel Verileri Koruma Kurulu’na şikayet hakkını kullanabilir. Şikayet kanalı için: https://www.kvkk.gov.tr.
9. Kişisel Verilerin Saklama Süreleri
KVKK m.4/2-(d) ve m.7 uyarınca, kişisel verileriniz işleme amaçlarının gerektirdiği süre boyunca veya ilgili mevzuatta öngörülen asgari süre kadar muhafaza edilir. Aşağıdaki süreler ürün ekibinin teknik kararına dayanır; müşteri/avukat onayına tabidir ve nihai içerik avukat tarafından teyit edildiğinde güncellenecektir.
| Veri Kategorisi | Saklama Süresi | Kaynak |
|---|---|---|
Hesap profili (profiles) ve kimlik bilgileri | Hesap aktif olduğu sürece + 30 günlük grace period (silme talebi sonrası) | K17 (TEKNIK §7.11) |
| Hesap silme grace sonrası tüm kullanıcı verisi | 30 gün sonunda pg_cron ile hard delete | K17 |
AI Rehber mesajları (ai_messages) | 90 gün (taslak — müşteri onayı bekler) | TEKNIK §7.11 |
AI hafıza özetleri (ai_memory_summaries) | Hesap aktif olduğu sürece (rolling güncellenir) | K20 |
| Kart / I Ching / Sarkaç geçmişleri | Hesap aktif olduğu sürece, silme talebinde hard delete | K17 |
| EAA randevu ve form verileri | Hesap aktif olduğu sürece, silme talebinde hard delete | K17 |
| EAA analiz PDF dosyaları | Kullanıcı silmedikçe saklanır; hesap silindiğinde silinir | K13 / K17 |
Bildirim kayıtları (notification_log) | İlgili mevzuat ve operasyonel ihtiyaca göre saklanır (öneri 90 gün; teyit bekler) | K18 |
Cihaz token’ları (device_tokens) | Token aktif olduğu sürece; logout / opt-out ile silinir | K18 |
Hassas işlem denetim kayıtları (audit_log) | 730 gün (2 yıl) (taslak — müşteri/avukat onayı bekler) | TEKNIK §3.11, K17 |
| Vergi ve ticari mevzuat kapsamındaki kayıtlar | İlgili mevzuatın öngördüğü süre (kural olarak en az 10 yıl) | Mevzuat |
Süre dolduğunda kişisel veriler silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı ile imha edilir.
10. Veri Güvenliği Tedbirleri
Veri Sorumlusu, KVKK m.12 kapsamında kişisel verilerin hukuka aykırı erişiminin önlenmesi ve hukuka uygun saklanması için gerekli teknik ve idari tedbirleri almıştır. Bunların başlıcaları:
- Supabase Postgres üzerinde Row Level Security (RLS) politikaları ile kullanıcı verilerinin yalnızca sahibi ve yetkili rollerce erişilebilir kılınması (TEKNIK §3.10)
- Admin rolünün AI Rehber sohbet içeriklerine erişiminin teknik olarak engellenmesi (gizlilik prensibi)
- Hassas işlemlerin (EAA analiz girişi, hesap silme, IAP entitlement değişiklikleri, AdMob SSV doğrulama, vb.)
audit_logüzerinde kayıt altına alınması - AdMob ödüllü reklam doğrulamasında ECDSA imza + HMAC
custom_datazincirlemesi ile sahtecilik koruması (K19) - TLS üzerinden taşıma katmanı şifrelemesi (Supabase HTTPS endpointleri)
- Erişim kayıtlarının (IP, user-agent)
audit_logüzerinde tutulması ve düzenli olarak gözden geçirilmesi - Üçüncü taraf hizmet sağlayıcılarla veri işleyen sıfatıyla veri işleme sözleşmesi (DPA) yapılması (kullanıma alınan tüm sağlayıcılar için tedrici tamamlanır — avukat onayı gerekir)
11. Aydınlatma Metni’nde Yapılacak Değişiklikler
Veri Sorumlusu, işbu Aydınlatma Metni’nde mevzuat değişiklikleri, ürün/teknoloji güncellemeleri ve KVK Kurulu kararları doğrultusunda değişiklik yapma hakkını saklı tutar. Önemli değişiklikler, uygulama içi bildirim ve/veya kayıtlı e-posta adresi üzerinden Kullanıcıya bildirilir. Güncel sürüm her zaman uygulamanın Profil → Yasal Bilgiler menüsünden ve [varsa web yasal sayfası URL'i] adresinden incelenebilir.
Placeholders (Eren / müşteri / avukat dolduracak)
Eren dolduracak / teyit edecek
[şirket ünvanı]— veri sorumlusu ticari ünvanı (HydroSeal mi, Deniz Hanım’ın yeni şirketi mi, bireysel mi — App Transfer planına bağlı)[MERSİS no],[vergi dairesi ve vergi no][şirket adresi][KEP adresi]— varsa[iletişim e-postası]— KVKK başvuru kanalı (örn.kvkk@zenyra.net)[varsa web sitesi],[varsa web yasal sayfası URL'i]
Müşteri (Deniz Hanım) / iç hukuk birlikte karara bağlayacak
[VERBİS kayıt no]— kayıt zorunluluğu durumunun teyidi; kayıt zorunluluğu yoksa o cümle ona göre yeniden yazılır- Audit log saklama süresi (taslakta 730 gün) — onay gerekir
- AI Rehber mesajları saklama süresi (taslakta 90 gün) — onay gerekir
notification_logsaklama süresi (taslak öneri 90 gün) — onay gerekir- Bölüm 2.6 — “ruhsal/manevi durum” beyanlarının özel nitelikli veri olarak konumlanması; iç hukuk yaklaşımı
Avukat dolduracak / revize edecek
- Bölüm 4.2 — Yurt dışı aktarım rejimi: açık rıza ve/veya KVKK m.9/6 standart sözleşme yaklaşımı arasında tercih
- Bölüm 4.4 — Hizmet sağlayıcılarla yapılacak DPA (veri işleme sözleşmesi) bağlanması
- Bölüm 7 — KEP başvurusu zorunluluğu / format düzeltmeleri
- Bölüm 10 — İdari ve teknik tedbirler listesinin tamlığı (KVK Kurulu “Kişisel Veri Güvenliği Rehberi” referansıyla)
İlgili kanonik kaynaklar
docs/SOT.md§2 (dil rehberi), §9 (modüller), §10 (EAA akışı ve form alanları), §13 (Yasal ve Sağlık Beyanı; KVKK m.11 yanıt akışı), §17 (açık beklemeler — audit log retention, ai_messages retention)docs/TEKNIK_KARARLAR.md§3.10 (RLS rol modeli + admin → app_metadata), §3.11 (Audit log — 2 yıl retention), §7.11 / K17 (KVKK kompliyans paketi — soft delete + JSON export + pg_cron), §7.12 / K18 (FCM push), §7.13 / K19 (AdMob SSV ledger), §7.14 / K20 (Premium rolling memory)CLAUDE.md(kök) K11 (Supabase Edge Functions), K13 (EAA PDF upload), K14 (RevenueCat), K17 / K18 / K19 / K20- Supabase migrations:
0002_profiles.sql,0004_card_pulls.sql,0006_iching_history.sql,0007_pendulum_history.sql,0008_ai_messages.sql,0011_eaa.sql,0013_ad_reward_credits.sql,0014_audit_log.sql,0015_data_retention.sql,0027_revenuecat_webhook.sql,0028_account_deletion_retention.sql,0029_ai_memory_card_algorithm.sql,0030_notifications_admob_ledger.sql - İlgili diğer hukuki taslaklar:
docs/legal/kvkk-acik-riza.md(KVKK Açık Rıza Beyanı),docs/legal/privacy.md(Gizlilik Politikası),docs/legal/terms.md(Kullanım Koşulları),docs/legal/disclaimer.md(Sorumluluk Reddi)
Kaynaklar (mevzuat)
- 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) — m.3, m.4, m.5, m.6, m.7, m.8, m.9, m.10, m.11, m.12, m.13, m.14
- Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ (RG 10.03.2018, sayı 30356)
- Kişisel Verileri Koruma Kurumu — Veri Sorumluları Sicili Hakkında Yönetmelik
- Kişisel Verileri Koruma Kurulu kararları (yurt dışı aktarım ve yeterli koruma değerlendirmeleri için güncel duyurular esas alınmalıdır — https://www.kvkk.gov.tr)