MEGIN

Gizlilik ve Kişisel Verilerin Korunması Politikası

Son Güncelleme: 8 Mart 2026

1. Veri Sorumlusu

6698 Sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında veri sorumlusu:

Veri Sorumlusu Bilgileri

Ünvan: Hamza Sivrikaya — Megin ("Megin" veya "Şirket")

Web: www.megin.ai

E-posta: info@megin.ai

Adres: Muratpaşa, Antalya

KEP: megin@hs01.kep.tr

Bu Politika, 6698 Sayılı KVKK, 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, 5809 Sayılı Elektronik Haberleşme Kanunu ve ilgili ikincil mevzuat kapsamında hazırlanmıştır.

2. Tanımlar

  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
  • Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
  • Veri İşleme: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
  • İlgili Kişi: Kişisel verisi işlenen gerçek kişi (Platform kullanıcıları: kişisel antrenörler ve üyeleri).
  • Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

3. Toplanan Kişisel Veriler ve Kategorileri

A. Kimlik Bilgileri

Ad, soyad, T.C. kimlik numarası (fatura için), doğum tarihi, cinsiyet.

B. İletişim Bilgileri

E-posta adresi, telefon numarası, adres bilgileri.

C. Finansal Bilgiler

Ödeme yöntemi bilgileri (kart numarasının son 4 hanesi, banka adı), fatura bilgileri, abonelik planı ve geçmişi. Tam kart bilgileri Şirket tarafından saklanmaz; ödeme altyapısı sağlayıcısı (PayTR) tarafından PCI DSS standartlarına uygun olarak işlenir.

D. Sağlık ve Fitness Verileri (Özel Nitelikli — Açık Rıza Gerekli)

Boy, kilo, vücut ölçümleri (göğüs, bel, kol, bacak), deri kıvrım kalınlığı ölçümleri, vücut yağ oranı, geçirilmiş ameliyat ve kronik hastalık bilgileri, sakatlanma geçmişi, ilerleme fotoğrafları (ön, yan, arka), beslenme kayıtları ve fotoğrafları, antrenman performans verileri, kişisel hedefler, haftalık ilerleme raporları.

E. Dijital Kimlik ve Kullanım Verileri

IP adresi, tarayıcı türü ve sürümü, işletim sistemi, cihaz bilgileri, oturum süreleri, ziyaret edilen sayfalar, tıklama verileri, erişim tarihi/saati, çerez verileri, push bildirim abonelik bilgileri (endpoint, şifreleme anahtarları).

F. Kullanıcı Tarafından Üretilen İçerik

Blog yazıları (antrenörler tarafından), üye notları, beslenme günlüğü notları.

4. Kişisel Verilerin İşlenme Amaçları

  • Üyelik kaydının oluşturulması, kimlik doğrulama ve hesap güvenliğinin sağlanması
  • Platform hizmetlerinin sunulması (üye takibi, antrenman programlama, beslenme yönetimi, ölçüm takibi, ilerleme raporlama)
  • Abonelik ve ödeme işlemlerinin yürütülmesi
  • Kişiye özel antrenman programlarının hazırlanması ve uygulanması
  • Üye sağlığının takibi ve güvenli antrenman ortamının sağlanması
  • Push bildirimleri ve uygulama içi bildirimlerin gönderilmesi
  • Haftalık ilerleme raporlarının oluşturulması
  • Yasal yükümlülüklerin yerine getirilmesi (vergi, fatura, 6698 sayılı KVKK, 6563 sayılı E-Ticaret Kanunu)
  • Platform performansının ölçülmesi ve iyileştirilmesi
  • Hukuki uyuşmazlıklarda delil olarak kullanılması
  • Açık rıza alınması şartıyla tanıtım, pazarlama ve kampanya bildirimleri
  • İstatistiksel analizler (anonimleştirilmiş veriler üzerinden)

5. Kişisel Veri İşlemenin Hukuki Dayanağı

KVKK m.5/2 — Açık Rıza Aranmaksızın İşleme Şartları

m.5/2-a: Kanunlarda açıkça öngörülmesi (vergi mevzuatı, 6563 sayılı Kanun yükümlülükleri)

m.5/2-c: Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması (platform hizmet sözleşmesi, abonelik)

m.5/2-ç: Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi

m.5/2-e: Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması

m.5/2-f: Veri sorumlusunun meşru menfaati (platform güvenliği, dolandırıcılık önleme)

KVKK m.6 — Özel Nitelikli Kişisel Veriler

m.6/2: Sağlık verileri (vücut ölçümleri, beslenme kayıtları, ilerleme fotoğrafları) yalnızca ilgili kişinin açık rızası ile işlenir.

Açık rıza, platform kaydı sırasında veya ilgili verinin ilk girildiği anda alınır. İlgili kişi açık rızasını her zaman geri çekebilir.

6. Kişisel Verilerin Aktarılması

Yurt İçi Aktarım (KVKK m.8)

Ödeme altyapısı sağlayıcısı (PayTR): Ödeme işlemlerinin gerçekleştirilmesi amacıyla finansal veriler aktarılır.

Yetkili kamu kurum ve kuruluşları: Yasal zorunluluk halinde (mahkeme kararı, savcılık talebi, vergi denetimi).

Antrenör-Üye arası: Platform yapısı gereği, antrenör yalnızca kendi üyelerine ait verileri görüntüleyebilir (tenant izolasyonu).

Yurt Dışı Aktarım (KVKK m.9)

Supabase (Veritabanı ve Kimlik Doğrulama): Platform altyapısı olarak kullanılmaktadır. Veriler, yeterli koruma bulunan ülkelerde veya KVKK m.9/2 kapsamında uygun güvenceler sağlanarak işlenmektedir.

Vercel (Hosting): Web uygulamasının barındırılması amacıyla teknik veriler işlenmektedir.

Yurt dışı aktarımlarda, alıcı tarafların yeterli güvenlik önlemlerine sahip olduğu ve verilerin korunacağı taahhüt altına alınmıştır.

7. Kişisel Verilerin Saklanma Süreleri

Veri KategorisiSaklama Süresi
Kimlik ve iletişim bilgileriÜyelik süresince + ilişki sona erdikten sonra 10 yıl (TTK m.82, VUK m.253)
Finansal bilgiler ve faturalar10 yıl (VUK m.253)
Sağlık ve fitness verileriÜyelik süresince; açık rıza geri çekildiğinde veya üyelik sona erdikten sonra 2 yıl içinde imha edilir
İlerleme fotoğraflarıÜyelik süresince; üyelik sona erdikten sonra 30 gün içinde silinir
Beslenme kayıtları ve fotoğraflarıÜyelik süresince; üyelik sona erdikten sonra 30 gün içinde silinir
Dijital kimlik ve log verileri2 yıl (5651 sayılı Kanun m.5)
Çerez verileriOturum çerezleri: tarayıcı kapandığında; kalıcı çerezler: en fazla 13 ay
Ticari elektronik ileti onaylarıOnay süresince + geri çekilmeden itibaren 1 yıl (İYS kaydı)

Saklama süresi dolan veriler, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca periyodik imha süreçleri çerçevesinde (6 aylık periyotlarla) güvenli yöntemlerle imha edilir.

8. Veri Güvenliğine İlişkin Tedbirler

Teknik Tedbirler

  • SSL/TLS şifreleme (tüm veri iletimi HTTPS üzerinden)
  • Veritabanı seviyesinde Row Level Security (RLS) — her antrenör yalnızca kendi verilerine erişir
  • Şifrelerin bcrypt ile hash'lenerek saklanması
  • CSRF, XSS ve SQL injection korumaları
  • Content Security Policy (CSP) header'ları
  • HSTS (HTTP Strict Transport Security)
  • API erişimlerinde timing-safe karşılaştırma
  • Push bildirim şifreleme anahtarlarının (VAPID) güvenli yönetimi
  • Düzenli güvenlik güncellemeleri ve bağımlılık taramaları

İdari Tedbirler

  • Erişim yetkilendirme matrisi (admin, antrenör, üye rolleri)
  • Veri işleme envanterinin tutulması
  • Veri ihlali müdahale prosedürü
  • Alt yüklenicilerle veri işleme sözleşmeleri
  • Çalışan gizlilik taahhütnameleri

9. Çerez Politikası

Zorunlu (Kesinlikle Gerekli) Çerezler

Oturum yönetimi, kimlik doğrulama, CSRF koruması ve dil tercihi için kullanılır. Bu çerezler olmadan platform çalışamaz ve kapatılamaz. Hukuki dayanak: KVKK m.5/2-c (sözleşmenin ifası).

İşlevsel Çerezler

Kullanıcı tercihlerinin (dil, tema, bildirim ayarları) hatırlanması için kullanılır. Hukuki dayanak: KVKK m.5/2-f (meşru menfaat).

Analitik Çerezler

Ziyaretçi davranışının anonim olarak analiz edilmesi için kullanılır. Yalnızca açık rızanızla etkinleştirilir. Tarayıcı ayarlarından veya çerez tercih panelinden devre dışı bırakılabilir.

Pazarlama Çerezleri

Hedefli reklam ve kampanya ölçümleme amacıyla kullanılır. Yalnızca açık rızanızla etkinleştirilir. İlgili Kişi tarafından her zaman geri çekilebilir.

10. İlgili Kişinin Hakları (KVKK m.11)

KVKK'nın 11. maddesi uyarınca aşağıdaki haklara sahipsiniz:

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme
  • Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme
  • Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
  • Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme
  • Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
  • KVKK m.7 çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme
  • Düzeltme, silme ve yok etme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

11. Başvuru Yöntemi

Haklarınızı kullanmak için aşağıdaki yöntemlerden biriyle başvurabilirsiniz:

Başvuru Kanalları

E-posta: info@megin.ai (konu satırında "KVKK Başvurusu" yazılmalıdır)

KEP: megin@hs01.kep.tr

Posta: Noter kanalıyla veya iadeli taahhütlü mektupla

Başvuruda kimliğinizi doğrulayan belge (nüfus cüzdanı fotokopisi veya e-imza), talep konusu ve iletişim bilgileri yer almalıdır.

Başvurunuz 30 (otuz) gün içinde ücretsiz olarak yanıtlanır. İşlemin ayrıca bir maliyet gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifeye göre ücret alınabilir.

Başvurunuzun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâlinde; cevabı öğrendiğiniz tarihten itibaren 30 gün ve her hâlde başvuru tarihinden itibaren 60 gün içinde Kişisel Verileri Koruma Kurulu'na şikâyette bulunabilirsiniz.

12. Veri İhlali Bildirim Prosedürü

Kişisel veri ihlali tespit edilmesi halinde:

  • İhlalin tespitinden itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapılır.
  • İhlalin ilgili kişilere olumsuz etkileri olması muhtemel ise, ilgili kişilere en kısa sürede bilgilendirme yapılır.
  • İhlal kayıt altına alınır ve alınan önlemler belgelenir.

13. Ticari Elektronik İleti (6563 Sayılı Kanun)

Ticari elektronik iletiler (kampanya, promosyon, bilgilendirme) yalnızca açık onayınız alındıktan sonra gönderilir.

  • Onayınız İleti Yönetim Sistemi (İYS) üzerinden kayıt altına alınır.
  • Her ticari elektronik iletide kolayca erişilebilir bir "abonelikten çıkma" bağlantısı bulunur.
  • Abonelikten çıkma talebiniz 3 iş günü içinde işleme alınır.
  • Hizmetin ifasına ilişkin bilgilendirme iletileri (ödeme onayı, şifre sıfırlama vb.) ticari ileti kapsamında değildir.

14. Otomatik Karar Alma ve Profilleme

Platform, antrenman önerileri ve haftalık ilerleme raporları oluşturmak amacıyla kullanıcı verilerini otomatik olarak analiz edebilir. Bu analizler:

  • Yalnızca hizmetin sunulması amacıyla yapılır.
  • Kişi hakkında hukuki sonuç doğuran veya önemli ölçüde etkileyen kararlar almaz.
  • İlgili kişi, otomatik işleme dayalı sonuçlara her zaman itiraz edebilir.

15. Çocukların Kişisel Verileri

Platform, 18 yaşından küçük kişilerin kişisel verilerini yalnızca veli/vasinin açık rızası ve yetkilendirmesi ile işler. Platformda "bağlı üye" (parent-child) sistemi aracılığıyla veliler çocuklarının verilerini yönetir.

18 yaşından küçük kullanıcıların sağlık verileri için veli/vasiden ayrıca özel nitelikli veri işleme açık rızası alınır.

16. Politika Değişiklikleri

Bu Politika, yasal düzenlemelerdeki değişikliklere veya platform hizmetlerindeki güncellemelere bağlı olarak revize edilebilir.

  • Değişiklikler web sitesinde yayımlandığı tarihte yürürlüğe girer.
  • Önemli değişiklikler (veri işleme amacı veya aktarım politikası değişiklikleri) kayıtlı kullanıcılara e-posta ve/veya uygulama içi bildirim ile duyurulur.
  • Değişiklik sonrasında platformu kullanmaya devam etmeniz, güncellenmiş politikayı kabul ettiğiniz anlamına gelir.

17. İletişim

Bize Ulaşın

Web: www.megin.ai

E-posta: info@megin.ai

KEP: megin@hs01.kep.tr