Gizlilik Politikası

Son güncelleme: 2026-03-10

1. Giriş

Mindpalse (“biz”, “uygulama”) olarak kişisel verilerinizin gizliliğini ciddiye alıyoruz. Bu Gizlilik Politikası, uygulamamızı kullanırken hangi bilgileri topladığımızı, nasıl kullandığımızı ve koruduğumuzu açıklar. AB Genel Veri Koruma Tüzüğü (GDPR) ve Türkiye Kişisel Verilerin Korunması Kanunu (KVKK) ile uyumlu şekilde hareket ediyoruz.

Kişisel kimlik bilgileriniz (ad, e-posta, telefon numarası) hiçbir zaman üçüncü taraf servislerle paylaşılmaz. AI işleme için yalnızca gerekli minimum veri (ses akışı, metin içeriği ve görseller) kişisel tanımlayıcı eklenmeden AI hizmet sağlayıcımıza iletilir.

2. Toplanan Veriler

2.1 Hesap Bilgileri

  • E-posta adresi: Kayıt ve oturum açma için
  • Ad ve soyad: Profil ve kişiselleştirme için
  • Profil bilgileri: Doğum tarihi, boy, kilo, cinsiyet (isteğe bağlı, sağlık özelliklerinde kullanılır)

2.2 Ses ve İçerik Verileri

  • Ses kayıtları: Sesli komutlarınız, konuşmadan metne dönüşüm için geçici olarak OpenAI Whisper API'sine gönderilir. Yalnızca ses akışı iletilir — kişisel tanımlayıcı bilgi (ad, e-posta, kullanıcı ID) eklenmez. Ses, transkripsiyon sonrası saklanmaz.
  • Metin girdileri: Görev, not, günlük ve harcama açıklamalarınız, akıllı ayrıştırma ve kategorileme için OpenAI GPT-4o-mini API'sine gönderilir. Kişisel tanımlayıcı bilgi dahil edilmez.
  • Beslenme verileri: Yemek açıklamalarınız, besin analizi için OpenAI GPT-4o-mini'ye gönderilir. Kişisel tanımlayıcı bilgi dahil edilmez.
  • Fotoğraflar: Fiş ve fatura görselleri, OCR analizi için OpenAI GPT-4o-mini Vision API'sine gönderilir. Yalnızca görsel verisi iletilir — hesap bilgisi eklenmez.

2.3 Sağlık Verileri

  • Kalori hedefi, vücut ölçüleri, egzersiz kayıtları, beslenme günlüğü
  • Bu veriler yalnızca uygulamanın sağlık takibi özelliği için kullanılır ve sunucularımızda saklanır.
  • Sağlık verileri varsayılan olarak üçüncü taraflarla paylaşılmaz. Yalnızca AI destekli sağlık önerisi (örn. günlük kalan kalori için yemek önerisi) talep ettiğinizde, sağlık feragatnamesini ve AI veri paylaşımı onayını kabul etmeniz şartıyla, makro özetleri (kalan kalori, tüketilen protein/karbonhidrat/yağ, hedef kalori, sağlık hedefi) anonim biçimde OpenAI'a iletilir. İsim, e-posta, doğum tarihi, boy/kilo ve diğer kimlik bilgileri bu istekte yer almaz.
  • Onayı her zaman ayarlardan geri çekebilirsiniz.

2.4 Teknik Veriler

  • Cihaz türü, işletim sistemi versiyonu
  • Uygulama versiyonu
  • IP adresi (güvenlik ve kötüye kullanım önleme için)
  • Push bildirim token'ı (bildirim gönderimi için)

3. Verilerin Kullanım Amaçları

  • Hesap oluşturma ve kimlik doğrulama
  • AI destekli görev yönetimi, beslenme takibi ve metin analizi
  • Kişiselleştirilmiş öneriler ve hatırlatmalar
  • Hizmet kalitesini artırma ve hata giderme
  • Yasal yükümlülüklerin yerine getirilmesi

4. Üçüncü Taraf Hizmet Sağlayıcılar ve Veri Paylaşımı

Uygulama işlevselliğini sağlamak için aşağıdaki üçüncü taraf hizmetleri kullanıyoruz. Kişisel kimlik bilgileriniz (ad, e-posta, telefon numarası) bu sağlayıcılardan hiçbirine gönderilmez.

4.1 OpenAI (AI İşleme)

Aşağıdaki AI destekli özellikler için OpenAI'ın API hizmetlerini kullanıyoruz:

  • OpenAI Whisper (Konuşmadan Metne): Ses kayıtlarınız, transkripsiyon için OpenAI Whisper API'sine ses verisi olarak gönderilir. Yalnızca ham ses akışı iletilir. İsteğe kişisel tanımlayıcı (ad, e-posta, kullanıcı ID) eklenmez.
  • OpenAI GPT-4o-mini (Metin Analizi): Görev açıklamalarınız, notlarınız ve yemek kayıtlarınız, akıllı ayrıştırma, kategorileme ve besin analizi için OpenAI GPT-4o-mini API'sine düz metin olarak gönderilir. Kişisel tanımlayıcı dahil edilmez.
  • OpenAI GPT-4o-mini Vision (Fiş OCR): Fiş ve fatura görselleri, optik karakter tanıma için OpenAI GPT-4o-mini Vision API'sine görsel verisi olarak gönderilir. Yalnızca görsel iletilir — hesap veya kimlik bilgisi eklenmez.
  • Sağlık önerisi (opsiyonel): Sağlık feragatnamesi ve AI veri paylaşımı onayı verdiyseniz, günlük makro özetiniz (yukarıda anlatıldı) OpenAI'a iletilir.
  • Aile/Ekip üye isimleri: Sesli komutla görev atayabilmek için (“Ali yapsın” gibi) grup üyelerinizin adları kısa bir liste olarak metin analiz isteklerine eklenir. E-posta, telefon veya diğer kimlik bilgileri bu listede yer almaz.

OpenAI Veri Saklama: OpenAI, API isteklerini kurumsal API politikası kapsamında işler. Standart API politikası gereği verileriniz model eğitiminde kullanılmaz. OpenAI, suistimal tespiti için API isteklerini sınırlı bir süre (varsayılan 30 güne kadar) kendi sistemlerinde tutabilir; bu süre OpenAI'ın güncel veri kontrol politikası tarafından belirlenir. Detaylar: platform.openai.com/docs/guides/your-data.

Kullanıcı Onayı: Herhangi bir veri OpenAI'a gönderilmeden önce, uygulama içi veri paylaşımı bildirimi aracılığıyla açık onayınız istenir. Reddedebilirsiniz — bu durumda AI destekli özellikler devre dışı kalır ancak temel görev yönetimi tamamen çalışır durumda kalır. Onay kaydımız; verdiğiniz tarih, dil tercihiniz, gösterilen metnin sürümü ve özet hash'i ile birlikte tutulur (KVKK aydınlatma yükümlülüğü).

4.2 Diğer Hizmet Sağlayıcılar

  • Vercel / Neon: Uygulama barındırma ve veritabanı hizmetleri. Tüm veriler Frankfurt, Almanya veri merkezinde (eu-central-1) saklanır.
  • Apple: Uygulama içi satın alma ve Apple Sign-In kimlik doğrulama. Apple'a yalnızca bu hizmetler için gerekli veriler kendi gizlilik politikaları kapsamında paylaşılır.
  • RevenueCat: Abonelik yönetimi ve uygulama içi satın alma doğrulama hizmeti. RevenueCat, abonelik durumunuzu (aktif/iptal), işlem kimliklerini ve anonim kullanıcı tanımlayıcınızı işler. Kişisel bilgileriniz (ad, e-posta) RevenueCat ile paylaşılmaz. RevenueCat verileri ABD sunucularında işler ve kendi gizlilik politikası kapsamında korur (https://www.revenuecat.com/privacy).
  • Resend (E-posta): İki faktörlü doğrulama kodları, hesap bildirimleri ve davet e-postaları için kullanılır. Yalnızca e-posta adresiniz ve gönderilen mesaj içeriği teslimat amacıyla iletilir.
  • Expo Push Notifications: Push bildirim teslimatı için. Yalnızca cihazınızın anonim push token'ı kullanılır; kimlik bilgisi paylaşılmaz.
  • AWS S3 (eu-central-1): Fiş, görev eki ve grup fotoğrafları gibi opsiyonel görsellerin barındırılması için. Görsel dosyaları yalnızca sizin yüklediğiniz içerikleri tutar.

5. Veri Güvenliği

  • Tüm veriler aktarım sırasında TLS/SSL şifreleme ile korunur
  • Veritabanı verileri AES-256 şifreleme ile durağan halde saklanır
  • Günlük kayıtları biyometrik kilitle (Face ID / Touch ID) korunur
  • Parolalar bcrypt ile tek yönlü hash'lenerek saklanır
  • E-posta ve TOTP yoluyla iki faktörlü doğrulama (2FA) desteği
  • JWT tabanlı oturum yönetimi, otomatik token rotasyonu ile güvenlik
  • OpenAI'a yapılan API istekleri şifreli HTTPS bağlantıları üzerinden gerçekleşir
  • Üçüncü taraf API isteklerine kişisel tanımlayıcı bilgi dahil edilmez

6. Veri Saklama Süresi

  • Hesap verileri: Hesap aktif olduğu sürece saklanır.
  • Ses kayıtları: Geçici olarak işlenir, transkripsiyon sonrası sunucularımızda derhal silinir. OpenAI tarafındaki muamele için yukarıdaki 4.1 bölümüne bakınız.
  • OpenAI'a gönderilen metin ve görsel verileri: Tarafımızdan gönderildikten sonra saklanmaz; OpenAI'ın kendi tarafındaki muamelesi 4.1 bölümünde açıklanmıştır.
  • İşlenmiş sonuçlar: Görev, harcama, yemek günlüğü ve sağlık kayıtları siz silene kadar sunucularımızda saklanır.
  • Denetim kayıtları (audit logs): Güvenlik amaçlı 2 yıl saklanır. Hesap silindikten sonra denetim kayıtlarındaki kimlik bilgileri kaldırılır; geriye yalnızca işlem türü ve zamanı kalır.
  • İçerik moderasyon kayıtları: Apple ve KVKK yükümlülükleri için en fazla 5 yıl saklanır.
  • Bildirim gönderim logları: 90 gün saklanır.
  • Webhook ve teknik olay kayıtları: 6 ay saklanır.
  • Hesap silme talebi sonrası: 30 günlük bekleme süresi tamamlandığında kimlik bilgileri ve tüm kişisel veriler kalıcı ve geri dönüşümsüz olarak silinir. Yukarıda belirtilen anonim denetim ve moderasyon kayıtları (kimliği belirsiz şekilde) yasal yükümlülük süresince saklanmaya devam eder.
  • Fotoğraf ve görseller: Uygulamaya yüklenen fotoğraflar (fiş tarama, görev ekleri) orijinal halleriyle saklanır. Fotoğraflara gömülü metadata bilgileri (konum, cihaz bilgisi, tarih vb. — EXIF verileri) otomatik olarak temizlenmez. Fotoğrafların içerdiği metadata bilgilerinin kontrolü ve yönetimi kullanıcının sorumluluğundadır.

7. Haklarınız (GDPR / KVKK)

Aşağıdaki haklara sahipsiniz:

  • Erişim hakkı: Hakkınızda tuttuğumuz tüm verilere erişim talep edebilirsiniz
  • Düzeltme hakkı: Yanlış veya eksik verilerin düzeltilmesini isteyebilirsiniz
  • Silme hakkı: Tüm verilerinizin silinmesini talep edebilirsiniz (Ayarlar → Hesap Sil). Silme talebinden sonra 30 günlük bekleme süresi uygulanır; bu süre zarfında hesabınıza giriş yaparak silme işlemini iptal edebilirsiniz. 30 gün sonunda tüm verileriniz (kişisel bilgiler, görevler, harcamalar, günlük kayıtları, ses kayıtları) kalıcı ve geri dönüşümsüz olarak silinir.
  • Veri taşınabilirliği: Tüm verilerinizi JSON formatında dışa aktarabilirsiniz (Ayarlar → Veri Dışa Aktar)
  • İşlemeye itiraz: Veri işlemeye istediğiniz zaman itiraz edebilirsiniz
  • Onay geri çekme hakkı: AI veri paylaşımı onayınızı istediğiniz zaman geri çekebilirsiniz. AI özellikleri devre dışı kalır ancak hesabınız ve verileriniz aynen korunur.

8. Veri Depolama Konumu

Tüm kişisel verileriniz Frankfurt, Almanya'daki veri merkezinde (Neon DB ve AWS S3 — eu-central-1) barındırılmaktadır. Verileriniz aşağıdaki istisnalar dışında AB/AEA sınırları dışına aktarılmaz:

  • OpenAI API çağrıları: Ses, metin ve fiş görselleri AI işleme için OpenAI sunucularına (ABD) iletilir. Bu istekler kişisel tanımlayıcı içermez; OpenAI tarafındaki muamele 4.1 bölümünde açıklanmıştır. Bu aktarım, uygulama içi açık onayınız ve OpenAI'ın veri işleme sözleşmeleri kapsamında gerçekleşir.
  • RevenueCat: Abonelik durumu doğrulaması için anonim kullanıcı tanımlayıcısı ABD'ye iletilir.
  • Expo Push: Bildirim teslimatı için anonim push token kullanılır.

9. Çerezler

Web sitemiz yalnızca zorunlu teknik çerezler kullanır. Mobil uygulama çerez kullanmaz — kimlik doğrulama token'ları için şifreli yerel depolama (SecureStore) kullanır. Detaylar için Çerez Politikası sayfamızı ziyaret ediniz.

10. Yaş Sınırı

Mindpalse 13 yaşın altındaki bireylerin kullanımına yönelik olarak tasarlanmamıştır. AB bölgesinde GDPR kapsamında ulusal yasalara göre dijital hizmet onay yaşı 13–16 arası değişebilir; bu yaş aralığındaki bireylerin uygulamayı kullanması için ebeveyn/veli onayı gereklidir. Uygulamada otomatik yaş doğrulaması yapılmaz; küçüklerin uygulamayı kullanması durumunda yasal sorumluluk ebeveyn/velide olduğu kabul edilir. Bir çocuğun rızasız olarak uygulamayı kullandığını fark ederseniz lütfen aşağıdaki iletişim adresinden bize bildirin; hesap derhal kapatılır.

11. Politika Değişiklikleri

Bu gizlilik politikasını zaman zaman güncelleyebiliriz. Önemli değişiklikler uygulama içi bildirim ve/veya e-posta ile duyurulacaktır. AI özelliklerini kullanmaya devam etmeden önce güncellenen koşulları yeniden kabul etmeniz istenecektir. Güncel tarihi bu sayfanın üst kısmında bulabilirsiniz.

12. İletişim

Gizlilik ile ilgili sorularınız için: info@mindpalse.com

Veri sorumlusu: Monelixa AI Ltd.