Şişko Gizlilik Politikası
Yürürlük tarihi: 2026-05-13 Son güncelleme: 2026-05-13 Versiyon: 1.0 (draft — hukuki inceleme bekliyor)
Bu belge, KVKK (6698 sayılı kanun) ve GDPR (Regulation (EU) 2016/679) referans alınarak hazırlanmış bir taslaktır. Publish öncesi 1 tur hukuki inceleme geçirir.
1. Veri sorumlusu
| Alan | Değer |
|---|---|
| Veri sorumlusu | Avni Genç (bireysel geliştirici) |
| İletişim | support@sisko.app |
| Ürün | Şişko — kişiselleştirilmiş kilo verme ve beslenme asistanı |
| Hizmet URL | https://sisko.app |
Şişko bireysel bir geliştirici tarafından yönetilen kişisel bir projedir. KVKK kapsamında veri sorumlusu, bu belgenin başında belirtilen gerçek kişidir.
2. Hangi verileri topluyoruz
2.1 Kimlik ve hesap bilgileri
- Apple veya Google ile giriş sırasında sağlayıcıdan aldığımız: e-posta adresi, ad-soyad, profil fotoğrafı URL'si, sağlayıcı kullanıcı kimliği (OAuth subject).
- Hesabınız için ürettiğimiz iç kullanıcı kimliği.
2.2 Sağlık ve fitness verileri
- HealthKit (iOS) üzerinden, izin verdiğinizde okuduğumuz: adım sayısı, aktif/bazal enerji, egzersiz süresi, dinlenik kalp atım hızı, vücut ağırlığı.
- Uygulama içinde girdiğiniz: kilo kayıtları, hedef kilo, su tüketimi, öğün kayıtları, aralıklı oruç pencereleri.
- HealthKit'e geri yazdığımız: Şişko'da kaydettiğiniz öğünlerin kalori değeri (yalnızca yazma izniyle).
2.3 Onboarding profili
- Cinsiyet, yaş, boy, mevcut/hedef kilo, aktivite düzeyi, yemek tercihleri, engeller (alerji, diyet kısıtlamaları).
2.4 Medya
- Öğün analizi için çektiğiniz/seçtiğiniz fotoğraflar. Görseller Şişko sunucusunda kalıcı olarak saklanmaz; AI çağrısı sırasında geçici olarak işlenir ve sonuç dönüşünde silinir.
- Mikrofonla kaydedilen ses, "günü toparlama" akışında konuşma → yazıya çevirmek için kullanılır. Ham ses kaydı saklanmaz; yalnızca transcript metni meal log kaydına dönüşür.
2.5 AI üretimi içerik
- Öğün değerlendirmeleri, günlük kalori ayarlamaları, gün sonu özetleri, gözlem/müdahale event'leri ve haftalık plan içerikleri. Bunlar LLM çıktısıdır ve hesabınıza bağlı olarak saklanır.
2.6 Cihaz ve push bilgileri
- Push notification token'ı (APNs/FCM), platform, app versiyonu.
- Bildirim gönderim kayıtları (kind × tarih düzeyinde).
2.7 Davranışsal telemetri
- Event isimleri ve sayıları (örn. "meal_logged", "weight_log_saved"), uygulama versiyonu, anonim client hash. Cloudflare Analytics Engine üzerinde tutulur, kullanıcı kimliğine bağlı index ile saklanır.
2.8 Toplamadığımız veriler
- Hassas finansal veri, kredi kartı bilgisi (ücretsiz sürüm).
- Konum (GPS) — hava durumu için yalnızca şehir adı kullanılır, koordinat saklanmaz.
- Reklam kimliği (IDFA / GAID).
- Sosyal medya hesap bilgisi.
3. Verileri ne için kullanıyoruz
| Amaç | Hukuki dayanak (KVKK m.5 / GDPR Art. 6) |
|---|---|
| Hesap oluşturma, kimlik doğrulama | Sözleşmenin kurulması/ifası |
| Kişiselleştirilmiş plan üretimi (kalori hedefi, makro dağılım, IF penceresi) | Sözleşmenin ifası + meşru menfaat |
| Öğün/su/kilo takibi ve günlük geri bildirim | Sözleşmenin ifası |
| Push notification (hatırlatma, gün sonu, su) | Açık rıza (cihaz ayarlarından kapatılabilir) |
| AI analizleri (fotoğraf, metin, ses) | Sözleşmenin ifası |
| Hata ayıklama, kullanım analizi (aggregated) | Meşru menfaat |
| Hizmet iyileştirmesi | Meşru menfaat |
| Yasal yükümlülükler (talep edildiğinde) | Kanunda öngörülmüş olması |
Verilerinizi reklam, profil satışı veya hedefli pazarlama için kullanmayız.
4. Üçüncü taraf işleyiciler
Şişko, aşağıdaki alt-işleyicilere veri aktarır:
| İşleyici | Hizmet | İşlenen veri | Lokasyon |
|---|---|---|---|
| Cloudflare, Inc. | Workers (sunucu), D1 (DB), KV (cache), R2 (export ZIP storage), Email Workers, AI Gateway, Analytics Engine | Tüm uygulama verisi | Global edge (DPA: Cloudflare DPA + SCC) |
| Anthropic, PBC | Claude LLM (öğün değerlendirme, plan, gün sonu) | LLM context (anonimleştirilmiş profil) | US / EU |
| OpenAI, L.L.C. | GPT LLM (alternatif provider, AI Gateway üzerinden) | LLM context (anonimleştirilmiş profil) | US |
| Google LLC | Gemini LLM (AI Studio, AI Gateway üzerinden) | LLM context (anonimleştirilmiş profil) | US / EU |
| Google LLC | "Google ile Giriş" OAuth | E-posta, ad, avatar URL | Global |
| Apple Inc. | "Apple ile Giriş" + APNs push | Kullanıcı kimliği, device token | Global |
| Expo (650 Industries, Inc.) | Push notification servisi | Cihaz token'ı | US |
AI Gateway çağrılarında LLM'e gönderilen prompt context'inde e-posta, ad-soyad ve OAuth subject açıkça yer almaz. Yalnızca anonim profil (yaş, cinsiyet, kilo, hedef, beslenme metrikleri) ve o anki öğün/log payload'ı gönderilir.
5. Saklama süreleri
| Veri tipi | Süre |
|---|---|
| Aktif hesap verisi (öğün, kilo, plan, vb.) | Hesap aktif olduğu sürece |
| Hesap silme talebi sonrası | 30 günlük "geri yükleme" penceresi, ardından kalıcı silme |
| Veri dışa aktarım ZIP (R2) | Hazırlandıktan sonra sınırlı süre (signed URL bitiş tarihine kadar), sonra bucket'tan silinir |
| Analytics Engine event'leri | Cloudflare varsayılan 90 gün retention (otomatik temizlenir) |
| Push notification token (revoke sonrası) | Hesap silme final purge'üne kadar |
| Outbox event'leri | Delivery sonrası temizlenir |
6. Haklarınız
KVKK Madde 11 ve GDPR Madde 15-22 kapsamında:
- Erişim: "Verilerimi İndir" akışıyla ZIP olarak tüm kayıtlarınızı indirebilirsiniz.
- Düzeltme: Onboarding profili ve ayarlar uygulama içinden düzeltilebilir; manuel destek için e-posta atın.
- Silme: "Hesabımı Sil" akışıyla 30 günlük geri yükleme penceresi başlatılır; süre sonunda tüm kişisel veriler kalıcı silinir.
- Veri taşınabilirliği: Export ZIP, makine okunabilir JSON formatındadır.
- İtiraz ve sınırlama: Push bildirimleri cihazdan kapatılabilir; LLM analizleri açısından itiraz hakkı varsa hizmetin temel işlevi sağlanamaz — hesabı silmek tek seçenektir.
- Otomatik karar: Plan ve öneriler LLM çıktısıdır; bağlayıcı hukuki etkisi olmayan tavsiye niteliğindedir.
Hakkınızı kullanmak için support@sisko.app adresine e-posta atın. 30 gün içinde yanıt alacaksınız.
7. Çocukların gizliliği
Şişko 13 yaş altı kullanıcılara yönelik değildir. 13 yaş altı bir kullanıcının kayıt yaptığı tespit edilirse hesabı sileriz.
8. Uluslararası veri aktarımı
Cloudflare global edge mimarisi nedeniyle veriler dünya çapındaki veri merkezlerinde işlenebilir. AB/Türkiye dışına aktarımlarda Standard Contractual Clauses (SCC) ve Cloudflare DPA dayanak alınır.
9. Güvenlik
- Tüm trafiğimiz TLS 1.2+ ile şifrelenir.
- Session token'ları imzalı, kısa ömürlü ve revoke edilebilir.
- OAuth refresh token'ları sunucu tarafında saklanır, client'a hiçbir zaman ham olarak gönderilmez.
- Veri ihlali durumunda etkilenen kullanıcılara 72 saat içinde e-posta ile bildirim yapılır.
10. Politika değişiklikleri
Bu politikayı zaman zaman güncelleyebiliriz. Esaslı değişiklikler app içi bildirimle ve/veya e-posta ile duyurulur. Güncellenmiş politika yayın tarihinden itibaren geçerli olur.
11. İletişim
- E-posta: support@sisko.app