GİZLİLİK POLİTİKASI

Hamza Sivrikaya — Megin ("Megin", "biz"), kişisel verilerinizden sorumlu veri sorumlusudur. Bu Gizlilik Politikası, Megin platformunu (www.megin.ai) kullanırken bilgilerinizi nasıl topladığımızı, kullandığımızı, sakladığımızı ve koruduğumuzu açıklar.

6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamında hazırlanmıştır.

• Kimlik ve iletişim bilgileri: Ad, soyad, e-posta, telefon, doğum tarihi, cinsiyet.
• Finansal bilgiler: Ödeme yöntemi (kart son 4 hane), fatura bilgileri, abonelik planı. Tam kart bilgileri saklanmaz — PayTR tarafından PCI DSS standartlarında işlenir.
• Sağlık ve fitness verileri (açık rıza gerekli): Boy, kilo, vücut ölçümleri, vücut yağ oranı, tıbbi geçmiş, ilerleme fotoğrafları, beslenme kayıtları, antrenman performansı, hedefler, haftalık raporlar.
• Kullanım ve teknik veriler: IP adresi, tarayıcı, cihaz bilgileri, oturum süreleri, ziyaret edilen sayfalar, çerezler, push bildirim abonelik bilgileri.
• Kullanıcı içerikleri: Blog yazıları (antrenörler), üye notları, beslenme günlüğü.

• Hesap oluşturma, kimlik doğrulama ve hesap güvenliği.
• Platform hizmetlerinin sunulması (üye yönetimi, antrenman programlama, beslenme takibi, ölçüm takibi, ilerleme raporlama).
• Abonelik ve ödeme işlemleri.
• Push ve uygulama içi bildirimler.
• Yasal yükümlülükler (vergi, fatura, KVKK, e-ticaret mevzuatı).
• Platform performansının ölçülmesi ve iyileştirilmesi.
• Dolandırıcılık ve güvenlik olaylarının tespiti ve önlenmesi.
• Açık rızanızla: pazarlama ve tanıtım bildirimleri.

Kişisel verilerinizi veya üyelerinizin verilerini üçüncü taraflara asla satmıyoruz.

• Sözleşmenin ifası: Platform hizmetlerinin sunulması için zorunlu işleme (KVKK m.5/2-c).
• Hukuki yükümlülük: Vergi mevzuatı, e-ticaret kanunu gereklilikleri (KVKK m.5/2-ç).
• Açık rıza: Sağlık verileri, pazarlama iletileri, analitik çerezler (KVKK m.6/2).
• Meşru menfaat: Platform güvenliği, dolandırıcılık önleme (KVKK m.5/2-f).

• Ödeme altyapısı (PayTR): Ödeme işlemleri için finansal veriler aktarılır.
• Altyapı sağlayıcılar: Supabase (veritabanı), Vercel (hosting). Gizlilik sözleşmeleri kapsamında işlenir.
• Antrenör-Üye ilişkisi: Antrenörler yalnızca kendi üyelerinin verilerini görüntüleyebilir (tenant izolasyonu).
• Yasal gereklilikler: Mahkeme kararı, savcılık talebi veya yasal zorunluluk halinde.

• Kimlik ve iletişim: Üyelik süresi + sona erdikten sonra 10 yıl (vergi mevzuatı).
• Finansal kayıtlar: 10 yıl.
• Sağlık ve fitness verileri: Üyelik süresince; üyelik sona erdikten sonra 2 yıl içinde veya rıza geri çekildiğinde imha edilir.
• İlerleme ve beslenme fotoğrafları: Hesap kapatmadan sonra 30 gün içinde silinir.
• Teknik ve log verileri: 2 yıl.

• SSL/TLS şifreleme (tüm veri iletimi HTTPS üzerinden).
• Veritabanı seviyesinde Row Level Security (RLS).
• Şifreler bcrypt ile hash'lenir.
• CSRF, XSS ve SQL injection korumaları.
• Content Security Policy (CSP), HSTS.
• Erişim yetkilendirme matrisi (admin, antrenör, üye rolleri).

• Erişim: Kişisel verilerinizin işlenip işlenmediğini öğrenme ve bilgi talep etme.
• Düzeltme: Eksik veya yanlış verilerin düzeltilmesini isteme.
• Silme: Kişisel verilerinizin silinmesini veya yok edilmesini talep etme.
• Taşınabilirlik: Verilerinizi makine tarafından okunabilir formatta alma.
• İtiraz: Otomatik sistemlerle analiz edilen verilere itiraz etme.
• Rıza geri çekme: Açık rızanızı istediğiniz zaman geri çekme.
• Şikâyet: Kişisel Verileri Koruma Kurulu'na başvurma.

Haklarınızı kullanmak için info@megin.ai adresine "KVKK Başvurusu" konusuyla e-posta gönderin. 30 gün içinde yanıtlanır.

Kişisel veri ihlali tespit edilmesi halinde, tespitten itibaren 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapılır. İhlal size olumsuz etki yaratabilecekse en kısa sürede bilgilendirilirsiniz.

Platform, 18 yaşından küçük kişilerin verilerini yalnızca veli/vasi rızası ve yetkilendirmesiyle "bağlı üye" (parent-child) sistemi aracılığıyla işler.

Önemli değişiklikler (veri işleme amacı, aktarım politikası) kayıtlı kullanıcılara e-posta ve/veya uygulama içi bildirimle duyurulur. Değişiklik sonrasında platformu kullanmaya devam etmeniz güncellenmiş politikayı kabul ettiğiniz anlamına gelir.