Effective date: September 3, 2024
KVKK
Effective date: September 3, 2024
Hamla Teknoloji A.Ş. (Oarca) KVKK Aydınlatma Metni
1. Veri Sorumlusu Bilgileri
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca, veri sorumlusu sıfatıyla kişisel verileriniz aşağıda bilgileri verilen tüzel kişi tarafından işlenmektedir:
Unvan: Hamla Teknoloji Anonim Şirketi
Adres: Reşitpaşa Mahallesi, Katar Caddesi, İTÜ Arı Teknokent 3 Binası, Kapı No: 4, Daire No: B204, Sarıyer / İstanbul
İletişim E-posta Adresi: info@hamlateknoloji.com
Hamla Teknoloji A.Ş., veri sorumlusu sıfatıyla kişisel verilerinizi; hukuka ve dürüstlük kurallarına uygun biçimde, belirli ve meşru amaçlarla, ölçülü ve sınırlı olarak işler, saklar ve gerektiğinde mevzuata uygun şekilde aktarır. Ayrıca Avrupa Ekonomik Alanı (EEA) ve yurtdışı kullanıcılar için veri sorumlusu temsilcisi atanması süreci planlanmakta olup, temsilcilik bilgileri veri sorumlusu sistem kayıtlarında ilan edilecektir.
2. Kişisel Verilerin İşlenme Amaçları
Kişisel verileriniz; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartlarına uygun olarak, aşağıda belirtilen amaçlarla işlenmektedir.
a. Temel Hizmetlerin Sunulması
● Mobil uygulamanın temel işlevlerinin yerine getirilmesi (örneğin antrenman başlatma, konum ve sensör verisi ile analiz yapılması, ekip oluşturma ve görev atama).
● Takım eşleştirme, antrenör paneli yönetimi, kullanıcılar arası bağlantı kurulması gibi uygulama içi koordinasyonun sağlanması.
● Kullanıcı hesabının oluşturulması, giriş yapılması ve hesap yönetimi süreçlerinin yürütülmesi.
b. Deneyim Geliştirme ve Kişiselleştirme
● Kullanıcı tercihleri, geçmişi ve performans verilerine göre uygulama içeriğinin kişiselleştirilmesi.
● Konum verilerine bağlı olarak rota önerileri veya çevresel bildirimlerin sunulması.
● Uygulama kullanımına dair teknik verilerin toplanarak hizmet kalitesinin artırılması.
c. Güvenlik ve Uygulama Performansı
● Kullanıcıların hesap ve sistem güvenliğinin sağlanması (örneğin iki faktörlü kimlik doğrulama, şüpheli giriş tespiti).
● Uygulama içi hataların giderilmesi ve sistem güncellemelerinin gerçekleştirilmesi.
● Siber saldırı, kötüye kullanım veya dolandırıcılık faaliyetlerinin tespit edilmesi ve önlenmesi.
d. Hukuki Yükümlülüklerin Yerine Getirilmesi
● Vergisel yükümlülüklerin ve fatura süreçlerinin yürütülmesi.
● Yetkili kamu kurum ve kuruluşlarının bilgi taleplerinin karşılanması.
● Kanuni yükümlülüklere uygun şekilde kayıtların tutulması ve gerekli bildirimlerin yapılması.
e. Analiz ve Raporlama
● Kullanıcı davranışlarının anonimleştirilmiş şekilde analiz edilmesi.
● Hizmetlerin geliştirilmesi ve kullanıcı deneyiminin iyileştirilmesine yönelik istatistiksel çalışmalar yapılması.
● Performans raporları ve sistem verimliliğine ilişkin değerlendirmelerin hazırlanması.
f. Tanıtım ve Pazarlama (Açık Rıza Gerektirir)
● Kullanıcının önceden açık rızasının bulunması halinde ticari elektronik ileti gönderimi (kampanyalar, bilgilendirme mesajları, duyurular).
● Uygulama kullanımına ilişkin veriler doğrultusunda kişiselleştirilmiş tanıtım, reklam ve önerilerin sunulması.
● Kullanıcının rızasını istediği zaman geri çekebilmesine olanak tanınması.
Veri sorumlusu olarak Hamla Teknoloji A.Ş., kişisel verilerinizi yalnızca belirtilen işleme amaçları kapsamında ve ilgili mevzuata uygun şekilde işlemekte, farklı bir amaçla kullanmamaktadır.
3. İşlenen Kişisel Veri Kategorileri
Her kişisel veri kategorisi, ilgili olduğu hukuki işleme sebebi ile birlikte tablolu biçimde kullanıcıya açık şekilde sunulmaktadır. Örneğin; ödeme bilgileri “sözleşmenin ifası”, sağlık verileri ise “açık rıza” temeline dayalı olarak işlenir.
Anonimleştirme ve silme işlemleri farklı süreçlerdir. Kişisel veriler açık rıza geri çekildiğinde, ya tamamen silinir ya da anonimleştirme teknikleri ile kimliksiz hale getirilir. Bu ayrım, veri türüne göre yapılır ve kayıt altına alınır.
Profil verileri yalnızca kullanıcının deneyimini iyileştirmek amacıyla kullanılır; hiçbir şekilde ticari amaçla 3. taraflara aktarılmaz veya reklam hedefleme için kullanılmaz.
a) Kimlik Bilgileri
Bu veri kategorisi, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. maddesinin 2. fıkrasının (c) bendi uyarınca, bir sözleşmenin kurulması veya ifasının gerektirdiği durumlarda açık rıza olmaksızın işlenebilir.
Kullanıcının adı, soyadı, doğum tarihi, cinsiyeti ve isteğe bağlı olarak yüklediği profil fotoğrafı, yalnızca kullanıcı hesabının oluşturulması ve kişiselleştirilmesi amacıyla işlenmektedir. Bu veriler hiçbir koşulda üçüncü taraflarla paylaşılmamakta ve uygulama dışına aktarılmamaktadır.
b) İletişim Bilgileri
Bu veri kategorisi, KVKK’nın 5. maddesinin 2. fıkrasının (c) bendi kapsamında sözleşmenin ifası, (f) bendi kapsamında ise veri sorumlusunun meşru menfaati doğrultusunda açık rıza olmaksızın işlenebilir.
Kullanıcının e-posta adresi, IP bilgisi ve cihazdan sağlanan bağlantı verileri (örneğin mobil operatör veya Wi-Fi) sadece hesap güvenliğinin sağlanması, sistemsel bilgilendirme yapılması ve destek taleplerinin yanıtlanması amacıyla kullanılmaktadır. Bu veriler açık rıza olmadan pazarlama ya da reklam amaçlı olarak işlenmez veya paylaşılmaz.
c) Konum Verileri
Konum verileri, 6698 sayılı Kanun’un 5. maddesinin 1. fıkrası uyarınca, ancak kullanıcının açık rızasına dayanılarak işlenebilir.
GPS koordinatları, geçmiş rota bilgileri ve canlı konum takibi gibi veriler yalnızca kullanıcının açık izni ile ve uygulama içindeki antrenman esnasında aktif biçimde işlenmektedir. Uygulama, arka planda sürekli konum takibi yapmaz. Konum verileri, sadece hizmetin sunulması için teknik olarak gerekli durumlarda yetkilendirilmiş üçüncü taraf servis sağlayıcılarla sınırlı şekilde paylaşılır.
d) Sağlık ve Biyometrik Veriler
Bu veriler, KVKK’nın 6. maddesinin 2. fıkrası gereğince özel nitelikli veri kapsamında olup, ancak kullanıcının açık rızası ile işlenebilir.
Kalp atış hızı, nabız aralıkları, efor seviyesi, yorgunluk durumu gibi sağlık ve biyometrik veriler, sadece kullanıcının açık rızasına istinaden analiz ve kişisel antrenman iyileştirmesi amacıyla işlenmektedir. Bu veriler asla reklam, hedefleme veya ticari profil oluşturma amacıyla kullanılmaz. Rıza, uygulama içinde sunulan onay ekranı üzerinden açık ve özgür iradeyle alınır.
e) Kullanım Verileri
Bu kategoriye ilişkin veriler, KVKK’nın 5. maddesinin 2. fıkrasının (f) bendi kapsamında, veri sorumlusunun meşru menfaati doğrultusunda açık rıza alınmaksızın işlenebilir.
Antrenman süresi, antrenman türü, tekrar sayısı, koç veya ekip ile yapılan geçmiş oturumlar, kullanıcı tarafından oluşturulan planlar, notlar, mesajlar ve geri bildirim içerikleri yalnızca performans takibi, ekip etkileşimi ve hizmetin kalitesinin artırılması amacıyla işlenmektedir. Kullanıcının hesabını silmesi durumunda bu veriler sistemden geri dönülemez şekilde silinir.
f) Görsel ve İşitsel İçerikler
Bu kategoriye ait veriler, KVKK’nın 5. maddesinin 1. fıkrası gereğince ancak kullanıcının açık rızası ile işlenebilir.
Kullanıcının uygulama aracılığıyla yüklediği fotoğraflar, antrenman sırasında çekilen videolar ve takım içi paylaşımlar gibi medya içerikleri, sadece kullanıcının paylaşım tercihleri doğrultusunda ve uygulamanın temel işlevlerini yerine getirmek amacıyla işlenmektedir. Bu veriler hiçbir şekilde otomatik olarak herkese açık hale getirilmez ve kullanıcı izni olmadan uygulama dışına aktarılmaz.
g) Cihaz Bilgileri
Cihaz verileri, KVKK’nın 5. maddesinin 2. fıkrasının (f) bendi kapsamında, veri sorumlusunun meşru menfaati doğrultusunda açık rıza alınmaksızın işlenebilir.
Cihazın marka ve modeli, işletim sistemi sürümü, uygulama versiyonu, batarya ve bağlantı durumu gibi bilgiler ile ivmeölçer ve jiroskop gibi sensörlerden gelen veriler, yalnızca uygulamanın teknik olarak sağlıklı biçimde çalışabilmesi ve antrenman verilerinin doğru analiz edilebilmesi amacıyla işlenmektedir. Bu veriler kullanıcıyı doğrudan tanımlamak amacıyla kullanılmaz. Kişiselleştirme amacıyla oluşturulan profil verileri ise kullanıcı rızasını geri çektiğinde derhal silinir veya anonimleştirilir.
h) Yapay Zekâ Tabanlı Profil Verileri
Bu veri kategorisi, KVKK’nın 5. maddesinin 1. fıkrası gereğince sadece kullanıcının açık rızası ile işlenebilir.
Kullanıcının antrenman alışkanlıkları, performans düzeyi, sıklıkla tercih ettiği antrenman türleri ve belirlediği hedefler doğrultusunda oluşturulan profil verileri yalnızca öneri sistemlerinin çalışması ve kullanıcı deneyiminin artırılması amacıyla işlenmektedir. Bu veriler reklam, hedefleme veya üçüncü kişilerle paylaşım amacıyla kullanılmaz. Kullanıcı, dilediği zaman bu verilerin işlenmesine verdiği açık rızayı geri çekebilir.
4. Kişisel Verilerin Aktarımı
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 8. ve 9. maddeleri uyarınca, toplanan kişisel verileriniz; işleme amaçlarıyla sınırlı olmak üzere ve gerekli teknik-idari güvenlik önlemleri alınarak yurt içi ve yurt dışındaki bazı kişi ve kuruluşlara aktarılabilir.
a) Yurt İçine Aktarılan Taraflar:
Hizmet sağlayıcıları: Yazılım altyapısı, sunucu barındırma (hosting), veri yedekleme, mobil uygulama dağıtımı, ödeme sistemleri (örneğin Stripe, Apple Pay, Google Pay), analiz ve hata izleme hizmetleri (örneğin Firebase, Sentry) sunan iş ortaklarıyla veriler paylaşılabilir. Bu taraflar verileri yalnızca Hamla Teknoloji A.Ş.’nin yazılı ve sözleşmeye bağlı talimatları doğrultusunda, belirli amaçlarla ve sınırlı sürelerle işlemektedir.
Yetkili kamu kurum ve kuruluşları: Mevzuattan doğan yükümlülükler gereği, yasal yetkilendirme çerçevesinde, örneğin vergi denetimleri veya kolluk kuvvetlerinin talepleri kapsamında bilgi paylaşımı yapılabilir.
Koçlar, takım yöneticileri, kulüpler: Uygulama içerisinde kullanıcı tarafından seçilmiş antrenör veya kulüp yöneticileriyle, yalnızca açık rıza verilmişse sınırlı antrenman verileri paylaşılabilir. Bu veriler hiçbir şekilde sağlık bilgilerini kapsamaz.
b) Yurt Dışına Aktarılan Taraflar:
Yurt dışına kişisel veri aktarımı, yalnızca KVKK’nın 9. maddesi kapsamında yer alan güvenlik koşullarının sağlanması durumunda ve aşağıdaki esaslara uygun şekilde gerçekleştirilmektedir:
Yeterli koruma sağlanan ülkeler: Aktarım, Kişisel Verileri Koruma Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen ülkelere yapılır. Yeni düzenleme ile bu yeterlilik yalnızca bir ülke geneline değil, aynı zamanda belirli sektörlere veya uluslararası kuruluşlara da verilebilmektedir. Kurul, bu yeterlilik kararlarını her dört yılda bir gözden geçirecek olup, gerekli durumlarda bu süre dolmadan da değiştirme, askıya alma veya kaldırma yetkisine sahiptir.
Yeterli koruma sağlanmayan ülkelere aktarım: Bu durumda, aşağıdaki uygun güvence yöntemlerinden biri sağlanarak aktarım gerçekleştirilebilir:
● Aktarıma taraf kamu kurumları arasında uluslararası sözleşme niteliği taşımayan bir anlaşmanın bulunması ve Kurul onayının alınması,
● Kurul tarafından önceden onaylanmış bağlayıcı şirket kurallarının uygulanması,
● Kurulca yayımlanan ve bildirimi yapılmış standart sözleşme metinlerinin taraflarca imzalanması,
● Taraflar arasında yapılmış ve Kurul tarafından onaylanmış veri aktarımına ilişkin yazılı taahhütname bulunması.
Bu yöntemlerden biri sağlandığında, Kanunun 5. ve 6. maddelerinde belirtilen işleme şartları mevcutsa kişisel veriler yurt dışına aktarılabilir.
Açık rıza: Kullanıcının açık rızası bulunuyorsa, bu rıza kapsamında belirtilen hizmetlere veri aktarımı yapılabilir. Bu durum, yalnızca istisnai hallerde ve açıkça sınırlı amaçlarla geçerli olup, düzenli ve sürekli veri aktarımı için bir dayanak teşkil etmez.
Arızi haller: Yeterlilik kararının bulunmadığı ve uygun güvenceler sağlanamadığı durumlarda, kişisel veriler yalnızca KVKK’nın 9. maddesinin 6. fıkrasında sınırlı olarak sayılan hallerden biri mevcutsa yurt dışına aktarılabilir. Bu haller şunlardır:
● İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla aktarıma açık rıza vermesi,
● Aktarımın, ilgili kişiyle veri sorumlusu arasında kurulan veya kurulacak bir sözleşmenin ifası için gerekli olması,
● Aktarımın, ilgili kişinin yararına veri sorumlusu ile üçüncü bir taraf arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,
● Aktarımın üstün bir kamu yararı için zorunlu olması,
● Bir hakkın tesisi, kullanılması veya korunması için aktarımın gerekli olması,
● Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için aktarımın zorunlu olması,
● Mevzuata uygun olarak kamuya açık sicillerden veri aktarımının yapılması.
Veri aktarımı yalnızca Hamla Teknoloji A.Ş.’nin açık talimatları doğrultusunda ve belirli işleme amaçları kapsamında yürütülür. Tüm yurtdışı aktarım süreçleri kayıt altına alınmakta ve denetlenmektedir.
Yurt Dışına Veri Aktarımına İlişkin Hizmet Sağlayıcılar ve Senaryolar:
Google Firebase: Uygulama performans verilerinin, cihaz bilgilerinin, çökme raporlarının ve istatistiksel kullanım analizlerinin işlenmesi.
Apple Health / Strava entegrasyonları: Kullanıcının açık rızasıyla bağlantı kurması durumunda, sağlık veya antrenman verilerinin senkronizasyonu. Bu veriler hiçbir zaman otomatik olarak paylaşılmaz; sadece kullanıcı onayıyla ilgili platformlara aktarılır.
Veri İşleme Sözleşmeleri: Firebase, Apple Health, Strava ve benzeri yurtdışı hizmet sağlayıcılarla veri işleme sözleşmeleri yapılmıştır. Bu sözleşmeler kapsamında hizmet sağlayıcılar, yalnızca Hamla Teknoloji A.Ş.’nin yazılı ve kayıt altına alınan talimatları doğrultusunda veri işlemektedir. Bu hizmet sağlayıcılar, veri işleyen sıfatıyla sınırlı ve amaçla bağlı şekilde hareket etmektedir.
Önemli Notlar:
● Hassas sağlık verileri, yalnızca açık rıza ile işlenir ve yurt dışına yalnızca rıza doğrultusunda aktarılır.
● Hiçbir veri kategorisi, reklam veya üçüncü taraf pazarlama faaliyetleri için otomatik olarak paylaşılmaz.
● Veri aktarımı yapılan her durumda, yalnızca amaçla sınırlı ve gerekli olan veri paylaşılır.
● KVKK’nın 9. maddesinde yapılan 2024 değişikliklerine uygun şekilde, tüm veri aktarımı yöntemleri hukuki dayanakları ile belirlenmekte; Kurul kararları, standart sözleşmeler ve bağlayıcı şirket kuralları ile uyumlu süreçler uygulanmaktadır.
5. Kişisel Verilerin Toplanma Yöntemleri ve Hukuki Sebepleri
Kişisel veriler, Hamla Teknoloji A.Ş. tarafından doğrudan kullanıcıdan ya da kullanıcı etkileşimi sırasında otomatik yollarla dijital ortamda toplanmaktadır. Verilerin toplanma yöntemleri ve her bir yönteme karşılık gelen hukuki sebepler aşağıda açıklanmıştır.
a) Toplama Yöntemleri:
• Kullanıcının doğrudan beyanı:
Kayıt esnasında kullanıcı tarafından girilen ad, soyad, e-posta, doğum tarihi, profil fotoğrafı gibi temel bilgiler; hesap oluşturulması, uygulamaya erişim ve kimlik doğrulama amacıyla dijital formlar aracılığıyla doğrudan toplanır.
• Mobil cihaz izinleri ve sensör verileri:
Kullanıcının mobil cihazındaki izinler kapsamında uygulama tarafından erişilen GPS, ivmeölçer, jiroskop, pusula, kalp atış monitörü gibi donanımlardan elde edilen konum ve sağlık verileri uygulama tarafından kullanıcının izni ile toplanır. Bu veriler yalnızca uygulama işlevselliğinin sağlanması ve kişisel analizler için kullanılır. Kullanıcı, bu izinleri uygulama içinden her zaman açma/kapama hakkına sahiptir.
• Üçüncü taraf servis entegrasyonları:
Kullanıcının isteği ve onayı doğrultusunda, Apple Health, Google Fit, Garmin, Strava ve benzeri üçüncü taraf platformlar üzerinden gerçekleştirilen veri senkronizasyonları ile antrenman, sağlık ve performans verileri uygulamaya aktarılabilir. Bu aktarım yalnızca kullanıcının aktif bağlantı kurması hâlinde gerçekleşir ve kullanıcı bu entegrasyonları istediği zaman durdurabilir.
• Otomatik toplama ve uygulama içi kullanım verileri:
Uygulamanın kullanımı sırasında oluşan antrenman süreleri, tercih edilen antrenman türleri, uygulama versiyonu, cihaz bilgisi, hata raporları ve sistem logları gibi veriler uygulama içi davranış analizleri ve sistem güvenliğini sağlamak amacıyla otomatik olarak toplanır.
• Destek ve iletişim kanalları:
Kullanıcının destek talepleri, geri bildirim mesajları veya hata bildirimleri aracılığıyla ilettiği içerikler (örneğin e-posta yoluyla gönderilen açıklamalar veya ekran görüntüleri), ilgili işlem sürecine yönelik olarak toplanır.
b) İşlemenin Hukuki Sebepleri:
Toplanan kişisel veriler aşağıdaki hukuki sebeplere dayanılarak işlenmektedir:
• Açık rıza (KVKK md. 5/1 ve 6/2):
Sağlık verileri, konum verileri, yapay zeka destekli kişiselleştirme verileri gibi özel nitelikli veriler ancak kullanıcının açık rızası ile işlenir. Açık rıza verilmediği sürece bu veriler işlenmez ve sistemde saklanmaz. Kullanıcı, verdiği rızayı dilediği zaman geri alma hakkına sahiptir.
• Sözleşmenin ifası (KVKK md. 5/2-c):
Uygulamanın temel hizmetlerinin sunulabilmesi (örneğin kayıt işlemleri, hesap açılması, antrenman takibi, antrenman geçmişinin görüntülenmesi) için gerekli olan kişisel veriler, kullanıcının uygulamayı kullanmaya başlaması ile birlikte işlenir. Bu veriler, kullanıcı ile kurulan hizmet sözleşmesinin ifası için zorunludur.
• Hukuki yükümlülüğün yerine getirilmesi (KVKK md. 5/2-ç):
Fatura düzenlenmesi, vergi kayıtlarının tutulması, kullanıcı taleplerine karşılık verilmesi, olası denetimlerde mevzuata uygun raporlamaların yapılabilmesi gibi zorunlu yasal işlemler için kişisel veriler işlenebilir ve gerektiğinde yasal mercilerle paylaşılabilir.
• Bir hakkın tesisi, kullanılması veya korunması (KVKK md. 5/2-e):
Kullanıcının haklarını kullanabilmesi (örneğin üyelik iptali, iade talepleri, şikayet süreçleri), Hamla Teknoloji A.Ş.’nin yasal yükümlülüklerini savunabilmesi veya yargı süreçlerinde haklarını koruyabilmesi için gerekli olabilecek kişisel veriler, bu çerçevede işlenebilir.
• Meşru menfaat (KVKK md. 5/2-f):
Uygulamanın geliştirilmesi, kullanıcı deneyiminin iyileştirilmesi, sistem güvenliğinin sağlanması, istatistiksel analizler yapılması ve kötüye kullanımların önlenmesi gibi durumlarda, kullanıcı temel hak ve özgürlüklerine zarar vermemek koşuluyla kişisel veriler işlenebilir. Her durumda kullanıcıya bu işleme hakkında aydınlatma sağlanır ve bu veri işleme açıkça kayıt altına alınır.
c) Veri Saklama Süresi ve Silme/Anonimleştirme:
Kişisel veriler, yukarıda belirtilen amaçlar ve hukuki sebeplerle sınırlı olmak üzere saklanmakta olup, bu amaçların ortadan kalkması veya yasal saklama süresinin dolması halinde, ilgili veriler mevzuata uygun olarak silinmekte, yok edilmekte veya anonim hale getirilmektedir. Saklama süreleri belirlenirken veri türü, işleme amacı ve yasal yükümlülükler dikkate alınmaktadır.
d) AI Tabanlı Kişiselleştirme ve Otomatik Kararlara İtiraz Hakkı:
Uygulamada yapay zekâ tabanlı analizler, kullanıcıların antrenman geçmişi, tercihleri ve performans verilerine göre öneriler sunmak amacıyla kullanılmaktadır. Ancak, bu analizler sonucunda kullanıcının aleyhine doğabilecek herhangi bir karar (örneğin erişim kısıtı, hizmet sınırlandırması, otomatik reddetme gibi sonuçlar) hiçbir zaman tamamen otomatik sistemlerle uygulanmaz.
Kullanıcı, yapay zekâ veya algoritma destekli işlemler sonucunda oluşabilecek kararlara karşı itiraz etme hakkına sahiptir. Bu tür kararlar alınmadan önce, kullanıcıya bilgilendirme yapılır ve alternatif değerlendirme yöntemleri (örneğin manuel inceleme) sağlanır.
6. İlgili Kişinin Hakları (KVKK md. 11)
Hamla Teknoloji A.Ş., yapay zekâ destekli sistemleri yalnızca kullanıcıya kişiselleştirilmiş öneriler sunmak amacıyla kullanmaktadır. Bu sistemler tarafından oluşturulan analiz ve tavsiyeler otomatik kararlar olarak kullanıcıya doğrudan uygulanmaz. Aşağıdaki güvenceler sağlanmaktadır:
a) Otomatik Karar Verme ve Profil Oluşturma Konusunda Güvence
● AI tabanlı profilleme sistemleri yalnızca öneri üretmek amacıyla kullanılır.
● Hiçbir karar, kullanıcıya manuel onayı alınmadan otomatik olarak uygulanmaz.
● Kullanıcılar, sistem tarafından sunulan önerilere bağlı kalmak zorunda değildir.
● Bu sistemlerin önerileri sonucunda aleyhe doğabilecek kararlar otomatik olarak uygulanmaz, öncesinde kullanıcıya bilgi verilir.
● Kullanıcının bu tür kararlara itiraz hakkı mevcuttur ve alternatif değerlendirme yolları (manuel inceleme, insan destekli değerlendirme) sağlanır.
● Yapay zeka destekli sistemler aracılığıyla kullanıcıların antrenman alışkanlıkları ve performans düzeyleri analiz edilerek kişiselleştirilmiş öneriler sunulabilir. Bu analizler sistemsel düzeyde otomatik olarak yürütülse de, bu analizlere bağlı sonuçlar yalnızca bilgilendirme ve tavsiye niteliğindedir.
b) Açık Rızanın Geri Çekilmesi Durumu
Kullanıcı, uygulama içi izin ayarları ya da yazılı taleple açık rızasını geri çekebilir. Rıza geri çekildiğinde:
● Sağlık, konum, profil öneri verileri gibi açık rızaya tabi veriler
● En geç 7 gün içinde silinir veya anonimleştirilir.
● Kullanıcı, dilediği zaman rızasını tekrar verebilir veya rıza dışı hiçbir veri işlenmez.
c) KVKK md. 11 Kapsamında Sahip Olunan Haklar
6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, kullanıcıların veri sorumlusu sıfatıyla Hamla Teknoloji A.Ş.’ye başvurarak sahip olduğu haklar şunlardır:
1. Kişisel verilerinin işlenip işlenmediğini öğrenme
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri öğrenme
5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
6. KVKK madde 7 kapsamında kişisel verilerin silinmesini veya yok edilmesini isteme
7. (5) ve (6) bentler uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
8. Kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi sonucu aleyhine bir sonucun ortaya çıkmasına itiraz etme
9. Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde tazminat talep etme
d) Başvuru Yöntemi
KVKK’nın 13. maddesi uyarınca, kullanıcılar yukarıda belirtilen haklarına ilişkin taleplerini aşağıdaki yollarla iletebilir:
● E-posta: Güvenli elektronik imza ile birlikte
info@hamlateknoloji.com adresine e-posta gönderebilirsiniz.
● Yazılı başvuru:
Elden teslim veya ıslak imzalı dilekçe ile aşağıdaki adrese başvuru yapılabilir:
Hamla Teknoloji A.Ş.
Reşitpaşa Mahallesi, Katar Caddesi,
İTÜ Arı Teknokent 3 Binası, Kapı No: 4,
Daire No: B204, Sarıyer / İstanbul
e) Silme, Yok Etme ve Anonimleştirme Politikası
Kullanıcı verileri; işlenme amacının ortadan kalkması, yasal saklama süresinin sona ermesi veya kullanıcının açık rızasını geri çekmesi durumunda, Hamla Teknoloji A.Ş. tarafından geri döndürülemez biçimde silinir, yok edilir veya anonim hale getirilir.
Silme işlemleri, yalnızca uygulama arayüzünde yer alan kullanıcı verilerini değil; aynı zamanda:
● Veri tabanı yedekleri,
● Log dosyaları,
● Sistem önbellekleri (cache) ve
● Otomatik senkronizasyonla çalışan yedekli sistemler gibi tüm veri yansımalarını da kapsamaktadır.
Bu süreçler, veri minimizasyonu, güvenli silme ve silme sonrası yeniden erişilemezlik ilkeleri doğrultusunda gerçekleştirilir. Uygulama altyapısında kullanılan servis sağlayıcılarla yapılan sözleşmelerde, bu geri döndürülemez silme yükümlülüğü ayrıca tanımlanmıştır.
Silme talepleri ya da açık rıza iptalleri sonrasında, verinin tüm kopyaları 7 gün içinde tamamen silinir ya da anonimleştirilir. Anonimleştirme durumunda, söz konusu veriler artık hiçbir şekilde kimliği belirli ya da belirlenebilir bir kişiye atfedilemez hâle getirilir.
Yapılan başvurular, en geç 30 gün içinde ücretsiz olarak sonuçlandırılır. Ancak işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifeye göre ücret talep edilebilir.
7. Veri Saklama Süresi (KVKK md. 4 ve 7)
Hamla Teknoloji A.Ş. olarak kişisel verilerinizi yalnızca işleme amaçlarının gerektirdiği süre boyunca ve ilgili mevzuatta öngörülen sürelerle sınırlı olarak saklarız. Saklama süresi sona eren veya işleme amacı ortadan kalkan kişisel veriler, KVKK’nın 7. maddesi ve şirket içi silme-yok etme politikalarına uygun şekilde geri döndürülemez biçimde silinir, yok edilir veya anonim hale getirilir.
Veri silme ve anonimleştirme işlemleri sırasında masking (maskeleme), hashing (kriptografik özetleme) ve generalization (genelleştirme) gibi ileri düzey teknikler kullanılır. Bu işlemlerin detayları — hangi verinin ne zaman, hangi yöntemle ve hangi düzeyde silindiği — sistem loglarında denetlenebilir şekilde kayıt altına alınır.
Silme işlemleri sadece uygulama veritabanında değil, aynı zamanda yedekleme sistemleri, log kayıtları, uygulama önbelleği (cache) ve dağıtılmış depolama alanları dahil tüm veri katmanlarında uygulanır.
Saklama Süreleri Tablosu:
Veri Türü Saklama Süresi Silme/Anonimleştirme Şekli
Konum ve antrenman verileri 12 ay boyunca saklanır; ardından sistem tarafından anonimleştirilir veya silinir. Generalization ve/veya sistemsel silme ile kalıcı olarak yok edilir.
Kullanıcı hesap verileri Hesap silinene kadar saklanır. Hesap silindikten sonra 30 gün içinde tamamen silinir. Uygulama içi silme sonrası, sistem ve yedeklerden otomatik silinir.
Sağlık ve biyometrik veriler Açık rıza devam ettiği sürece saklanır. Rıza geri çekilirse 7 gün içinde silinir. Geri döndürülemez şekilde maskeleme ve sistemsel silme.
Ödeme ve mali kayıtlar 213 sayılı Vergi Usul Kanunu gereği 10 yıl saklanır. Süre sonunda mevzuata uygun şekilde imha edilir.
Destek/iletişim mesajları Talep kapatıldıktan sonra en fazla 1 yıl süreyle saklanır. Manuel veya sistemsel olarak silinir, loglardan da temizlenir.
Tüm bu işlemler, KVKK’ya ve şirket içi veri imha prosedürlerine uygun olarak yürütülmekte ve gerektiğinde Kişisel Verileri Koruma Kurumu’nun denetimine sunulabilecek şekilde kayıt altına alınmaktadır.
8. Veri Güvenliği Önlemleri (KVKK md. 12)
Hamla Teknoloji Anonim Şirketi, kişisel verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini korumak amacıyla, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesi kapsamında gerekli teknik ve idari tedbirleri almaktadır. Veri güvenliği süreçleri sürekli olarak güncellenmekte ve gelişen teknolojiye uyumlu hâle getirilmektedir.
Aşağıda, uygulanan başlıca veri güvenliği önlemleri yer almaktadır:
• TLS (Transport Layer Security) ile Güvenli Veri İletimi
Tüm veri iletimleri (örneğin antrenman bilgileri, giriş bilgileri, konum ve sağlık verileri), uçtan uca şifrelenmiş bağlantılar (HTTPS/TLS protokolleri) üzerinden gerçekleştirilir. Bu sayede verilerin üçüncü kişiler tarafından izinsiz erişimi engellenir.
• İki Faktörlü Kimlik Doğrulama (2FA)
Yönetici panellerine ve kritik sistem bileşenlerine erişim, sadece çift aşamalı kimlik doğrulama ile sağlanmaktadır. Bu sayede kullanıcı adı ve parola dışındaki faktörler (örneğin cihaz doğrulama kodu) da kullanılarak izinsiz girişlerin önüne geçilir.
• Yetki Tabanlı Erişim Kontrolleri (RBAC)
Kişisel verilere erişim, yalnızca görev tanımları ve rol bazlı yetkilendirme sistemine (Role-Based Access Control – RBAC) göre yapılır. Personelin yalnızca görev alanıyla sınırlı verilere erişmesine izin verilir. Tüm erişim hareketleri kayıt altına alınır ve düzenli olarak incelenir.
• Düzenli Güvenlik Denetimleri ve Sızma Testleri
Uygulama ve sistem altyapısı, belirli aralıklarla iç denetim ekipleri ve/veya bağımsız uzman firmalar tarafından güvenlik denetimlerine tabi tutulur. Ayrıca düzenli olarak sızma testleri (penetration testing) ve zafiyet analizleri (vulnerability scanning) gerçekleştirilerek olası açıklar tespit edilir ve giderilir. Her test sonucunda güvenlik önlemleri güncellenir.
• Veri Sızıntısı Bildirimi ve Olay Müdahale Süreci
Kişisel verilerin hukuka aykırı olarak üçüncü kişilerce ele geçirilmesi durumunda, bu ihlal derhal değerlendirilir. KVKK’nın 12/5. maddesi uyarınca, bu durum hem ilgili kişilere hem de Kişisel Verileri Koruma Kurulu’na en geç 72 saat içinde bildirilir. Olay müdahale planı kapsamında, ihlalin kapsamı, etkilediği veri türleri ve alınan önlemler kayıt altına alınır.
• Hassas Verilerde Şifreleme ve Anonimleştirme
Sağlık verileri, konum bilgileri ve yapay zekâ analiz verileri gibi hassas kategorideki veriler, sistemde kriptografik yöntemlerle şifrelenmiş biçimde saklanır. Bu veriler, yetkisiz erişimlere karşı koruma altındadır ve sadece belirlenen sistem bileşenleri tarafından okunabilir formata dönüştürülür. Rıza iptali veya veri silme taleplerinde, bu veriler anonimleştirme teknikleriyle kimliksiz hale getirilir.
• Yaş Doğrulama ve Küçük Yaş Kullanıcı Güvencesi
Kullanıcı yaş doğrulaması, kayıt sırasında beyan edilen doğum tarihi üzerinden otomatik olarak yapılır. Uygulamanın çocuk kullanıcılar (örneğin 13 yaş altı) için kullanıma açık olduğu durumlarda, ek güvenlik önlemleri uygulanır. Gerekli hâllerde, ebeveyn e-posta doğrulaması veya ek teyit sistemleriyle desteklenmiş yaş kontrol süreçleri devreye alınır.
Not: Oarca uygulaması, 13 yaş altı kullanıcıların kişisel verilerini kasten toplamamaktadır. Yasal zorunluluk bulunan bölgelerde, ebeveyn izni alınmadan hesap oluşturulamaz.
Bu önlemler, KVKK’nın yanı sıra Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), Apple App Store ve Google Play Developer Data Safety yönergeleri ile uyumlu şekilde yürütülmektedir.
Uygulama içerisinde kullanıcı tarafından erişilebilecek şekilde "Ayarlar > Gizlilik menüsünde, güncel veri işleyen listesi sunulmakta; bu listede veri türü, amaç ve saklama süresi bilgileri yer almaktadır.
9. 18 Yaş Altı Kullanıcıların Verileri
Hamla Teknoloji Anonim Şirketi, çocukların kişisel verilerinin korunmasını öncelikli bir sorumluluk olarak kabul eder. Bu doğrultuda, uygulamada 18 yaş altı kullanıcılar için ayrı güvenlik katmanları ve açık rıza mekanizmalarıuygulanmaktadır.
a) 13 Yaş Altı Kullanıcılar
● 13 yaşından küçük kullanıcıların uygulamayı kullanmasına izin verilmez.
● Bu yaş grubuna ait bir kullanıcı tespit edildiğinde, ilgili hesap derhal askıya alınır ve tüm kişisel verileri geri döndürülemez şekilde silinir veya anonimleştirilir.
● Bu politika, COPPA (Children’s Online Privacy Protection Act) ve benzeri çocuk hakları mevzuatlarıyla da uyumludur.
b) 13 – 17 Yaş Arası Kullanıcılar (Reşit Olmayanlar)
Bu yaş aralığındaki bireyler, Oarca uygulamasını yalnızca ebeveyn veya yasal temsilcinin açık rızası ile kullanabilir.
● Hesap oluşturulmadan önce uygulama içinde dijital onay formu gösterilir.
● Ebeveyn onayı yalnızca dijital form üzerinden değil, aynı zamanda e-posta veya SMS yoluyla gönderilen doğrulama kodu ile tamamlanır.
● Onay süreci sırasında, sistem ebeveyn rızasını aşağıdaki unsurlarla loglar:
o Cihaz kimliği
o IP adresi
o Tarih ve saat damgası (timestamp)
o Doğrulama yöntemi (e-posta/SMS)
● Bu log kayıtları, gerektiğinde denetim kurumlarına ispat niteliğinde sunulmak üzere güvenli biçimde saklanır.
c) Uygulanan Ek Koruma Önlemleri (13–17 yaş arası kullanıcılar için)
Aşağıdaki sınırlamalar, bu yaş grubundaki kullanıcıların güvenliği için varsayılan olarak uygulanır:
● Kullanıcı profili, sistem tarafından varsayılan olarak gizli şekilde oluşturulur.
● Konum ve sağlık verilerinin paylaşımı, açık ebeveyn rızası olmadan sistemsel olarak engellenmiştir.
● Koç eşleşmeleri, takım katılımı, grup içi mesajlaşma, sosyal etkileşim ve benzeri bölümler için ayrı ebeveyn onayı zorunludur.
● Ebeveyn onayı alınmamış kullanıcılar bu özellikleri kullanamaz.
d) Yaş Doğrulama Süreci
● Yaş doğrulaması, kayıt sırasında alınan doğum tarihi beyanı ile başlatılır.
● Riskli yaş aralığı (13–17) tespit edildiğinde sistem, kullanıcıyı ebeveyn onay sürecine yönlendirir.
● Gerekli durumlarda ek belgeler veya ikinci doğrulama adımı talep edilebilir (ör. ebeveyn e-posta adresiyle doğrulama).
e) Ebeveynin Hakları
● Ebeveynler veya yasal temsilciler, çocuklarına ait kişisel verilerin işlenmesine ilişkin detayları öğrenebilir.
● Kayıtlı verilerin düzeltilmesini, silinmesini veya kısıtlanmasını talep edebilirler.
● Bu talepler için aşağıdaki e-posta adresi üzerinden Hamla Teknoloji A.Ş.’ye başvuru yapılabilir:
📧 info@hamlateknoloji.com
Tüm başvurular KVKK kapsamında değerlendirilir ve en geç 30 gün içinde sonuçlandırılır.
10. Ek Güvence ve Uyumluluk Önlemleri
Hamla Teknoloji A.Ş., yalnızca 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) değil, aynı zamanda Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), Amerika Birleşik Devletleri California Consumer Privacy Act (CCPA) ve çocuk kullanıcılar için Children’s Online Privacy Protection Act (COPPA) gibi uluslararası veri koruma düzenlemelerine de uyum hedeflemektedir.
Bu doğrultuda alınan ek teknik ve idari önlemler aşağıda yer almaktadır:
• Minimum Veri İşleme İlkesi
Tüm sistemler ve kullanıcı arayüzleri, “minimum veri” (data minimization) ilkesine göre yapılandırılmıştır. Yalnızca hizmetin sunumu için zorunlu olan kişisel veriler toplanır ve işlenir; ihtiyaç fazlası veri toplanmaz.
• Açık Rıza Süreci ve Denetlenebilirlik
● Kullanıcıdan alınan açık rıza metinleri, sade, anlaşılır ve teknik olmayan bir dille hazırlanmıştır.
● Her bir özel nitelikli veri türü (örneğin sağlık, konum, yapay zekâ önerileri) için ayrı onay kutucukları ve log kayıtları oluşturulur.
● Rıza ekranları ve tercihler, uygulama içinden dilediği zaman erişilebilir ve güncellenebilir durumdadır.
● Kullanıcı, verdiği açık rızayı her zaman geri çekme hakkına sahiptir.
• Uygulama İçi Bilgilendirme
Kullanıcılara, uygulama içi bildirimler veya tercihler bölümü aracılığıyla veri işleme faaliyetleri konusunda periyodik bilgilendirme yapılmaktadır. Bu hatırlatmalar şeffaflığı artırmak amacıyla düzenli şekilde planlanır.
• Otomatik Veri Aktarımının Engellenmesi
Kullanıcı verileri, hiçbir koşulda kendi bilgisi dışında başka sistemlere otomatik olarak aktarılmaz. API entegrasyonları (ör. Apple Health, Strava, Google Fit), ancak manuel kullanıcı onayı sonrasında aktif hâle gelir. Sistem düzeyinde bu işlem için ön onay zorunludur.
• AI Tabanlı Sistemlerin Sınırlanması
Yapay zekâ destekli analiz sistemleri yalnızca öneri sunmak amacıyla kullanılmakta olup, bu öneriler kullanıcıya otomatik karar olarak uygulanmaz. Sistemsel düzeyde bu tür analizlerin dış amaca yönlendirilmesi teknik olarak engellenmiştir.
• Dış Denetim ve Uyumluluk Gözden Geçirmeleri
Tüm veri işleme faaliyetleri, düzenli olarak bağımsız hukuk danışmanları ve teknik denetim ekipleri eşliğinde değerlendirilmekte, platform politikaları ve mevzuatlar doğrultusunda güncellenmektedir. Bu sayede uygulama sürekli olarak yasal gelişmelere uyumlu hâlde kalır.
• Uluslararası Dijital Platform Uyumu
Uygulama, Apple App Store, Google Play ve diğer uluslararası dijital mağazaların veri güvenliği gerekliliklerine tam uyumlu biçimde geliştirilmiştir. Özellikle:
● App Tracking Transparency (ATT) politikası
● COPPA (Children’s Online Privacy Protection Act) kapsamında küçük yaştaki kullanıcıların korunması
● Data Safety Formları ve App Privacy Details gereklilikleri dikkate alınmıştır.
11. Sonuç ve Kullanıcı Onayı
Oarca mobil uygulamasını kullanmaya başlayan her kullanıcı, aşağıda yer alan hususları kabul, beyan ve taahhüt etmiş sayılır:
● Bu Aydınlatma Metni’ni okuduğunu ve içeriğini anladığını,
● Kişisel verilerinin hangi amaçlarla işlendiği konusunda yeterli biçimde bilgilendirildiğini,
● Uygulamanın temel fonksiyonlarının işletilmesi için gerekli olan kişisel verilerin, sözleşmenin ifası ve meşru menfaat hukuki sebeplerine dayanarak işlendiğini,
● Konum, sağlık, çocuk verileri ve uygulama entegrasyonları gibi özel nitelikli veri işleme faaliyetleri için açık rıza verilmesinin gerekli olduğunu.
Hamla Teknoloji A.Ş., bu tür açık rıza gerektiren işlemler için uygulama içinde dijital yollarla, özgür, bilgilendirilmişve ayrık (granüler) şekilde kullanıcı onayı almaktadır.
● Açık rıza, her bir veri kategorisi (örneğin konum verisi, sağlık verisi, entegrasyon bağlantıları) için ayrı ayrı kutucuklar aracılığıyla sunulmaktadır.
● Kullanıcılar, verdikleri açık rızayı istedikleri zaman geri çekme hakkına sahiptir.
● Rıza geri çekildiğinde ilgili veri işleme faaliyetleri derhal durdurulur ve söz konusu veriler, ilgili saklama süreleri sonunda silinir veya anonim hale getirilir.
Bu uygulama politikası, KVKK md. 10, GDPR madde 7 ve App Store/Google Play onay sistemleriyle tam uyumlu olacak şekilde yapılandırılmıştır.
Hamla Teknoloji A.Ş. (Oarca) KVKK Aydınlatma Metni
1. Veri Sorumlusu Bilgileri
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca, veri sorumlusu sıfatıyla kişisel verileriniz aşağıda bilgileri verilen tüzel kişi tarafından işlenmektedir:
Unvan: Hamla Teknoloji Anonim Şirketi
Adres: Reşitpaşa Mahallesi, Katar Caddesi, İTÜ Arı Teknokent 3 Binası, Kapı No: 4, Daire No: B204, Sarıyer / İstanbul
İletişim E-posta Adresi: info@hamlateknoloji.com
Hamla Teknoloji A.Ş., veri sorumlusu sıfatıyla kişisel verilerinizi; hukuka ve dürüstlük kurallarına uygun biçimde, belirli ve meşru amaçlarla, ölçülü ve sınırlı olarak işler, saklar ve gerektiğinde mevzuata uygun şekilde aktarır. Ayrıca Avrupa Ekonomik Alanı (EEA) ve yurtdışı kullanıcılar için veri sorumlusu temsilcisi atanması süreci planlanmakta olup, temsilcilik bilgileri veri sorumlusu sistem kayıtlarında ilan edilecektir.
2. Kişisel Verilerin İşlenme Amaçları
Kişisel verileriniz; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartlarına uygun olarak, aşağıda belirtilen amaçlarla işlenmektedir.
a. Temel Hizmetlerin Sunulması
● Mobil uygulamanın temel işlevlerinin yerine getirilmesi (örneğin antrenman başlatma, konum ve sensör verisi ile analiz yapılması, ekip oluşturma ve görev atama).
● Takım eşleştirme, antrenör paneli yönetimi, kullanıcılar arası bağlantı kurulması gibi uygulama içi koordinasyonun sağlanması.
● Kullanıcı hesabının oluşturulması, giriş yapılması ve hesap yönetimi süreçlerinin yürütülmesi.
b. Deneyim Geliştirme ve Kişiselleştirme
● Kullanıcı tercihleri, geçmişi ve performans verilerine göre uygulama içeriğinin kişiselleştirilmesi.
● Konum verilerine bağlı olarak rota önerileri veya çevresel bildirimlerin sunulması.
● Uygulama kullanımına dair teknik verilerin toplanarak hizmet kalitesinin artırılması.
c. Güvenlik ve Uygulama Performansı
● Kullanıcıların hesap ve sistem güvenliğinin sağlanması (örneğin iki faktörlü kimlik doğrulama, şüpheli giriş tespiti).
● Uygulama içi hataların giderilmesi ve sistem güncellemelerinin gerçekleştirilmesi.
● Siber saldırı, kötüye kullanım veya dolandırıcılık faaliyetlerinin tespit edilmesi ve önlenmesi.
d. Hukuki Yükümlülüklerin Yerine Getirilmesi
● Vergisel yükümlülüklerin ve fatura süreçlerinin yürütülmesi.
● Yetkili kamu kurum ve kuruluşlarının bilgi taleplerinin karşılanması.
● Kanuni yükümlülüklere uygun şekilde kayıtların tutulması ve gerekli bildirimlerin yapılması.
e. Analiz ve Raporlama
● Kullanıcı davranışlarının anonimleştirilmiş şekilde analiz edilmesi.
● Hizmetlerin geliştirilmesi ve kullanıcı deneyiminin iyileştirilmesine yönelik istatistiksel çalışmalar yapılması.
● Performans raporları ve sistem verimliliğine ilişkin değerlendirmelerin hazırlanması.
f. Tanıtım ve Pazarlama (Açık Rıza Gerektirir)
● Kullanıcının önceden açık rızasının bulunması halinde ticari elektronik ileti gönderimi (kampanyalar, bilgilendirme mesajları, duyurular).
● Uygulama kullanımına ilişkin veriler doğrultusunda kişiselleştirilmiş tanıtım, reklam ve önerilerin sunulması.
● Kullanıcının rızasını istediği zaman geri çekebilmesine olanak tanınması.
Veri sorumlusu olarak Hamla Teknoloji A.Ş., kişisel verilerinizi yalnızca belirtilen işleme amaçları kapsamında ve ilgili mevzuata uygun şekilde işlemekte, farklı bir amaçla kullanmamaktadır.
3. İşlenen Kişisel Veri Kategorileri
Her kişisel veri kategorisi, ilgili olduğu hukuki işleme sebebi ile birlikte tablolu biçimde kullanıcıya açık şekilde sunulmaktadır. Örneğin; ödeme bilgileri “sözleşmenin ifası”, sağlık verileri ise “açık rıza” temeline dayalı olarak işlenir.
Anonimleştirme ve silme işlemleri farklı süreçlerdir. Kişisel veriler açık rıza geri çekildiğinde, ya tamamen silinir ya da anonimleştirme teknikleri ile kimliksiz hale getirilir. Bu ayrım, veri türüne göre yapılır ve kayıt altına alınır.
Profil verileri yalnızca kullanıcının deneyimini iyileştirmek amacıyla kullanılır; hiçbir şekilde ticari amaçla 3. taraflara aktarılmaz veya reklam hedefleme için kullanılmaz.
a) Kimlik Bilgileri
Bu veri kategorisi, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. maddesinin 2. fıkrasının (c) bendi uyarınca, bir sözleşmenin kurulması veya ifasının gerektirdiği durumlarda açık rıza olmaksızın işlenebilir.
Kullanıcının adı, soyadı, doğum tarihi, cinsiyeti ve isteğe bağlı olarak yüklediği profil fotoğrafı, yalnızca kullanıcı hesabının oluşturulması ve kişiselleştirilmesi amacıyla işlenmektedir. Bu veriler hiçbir koşulda üçüncü taraflarla paylaşılmamakta ve uygulama dışına aktarılmamaktadır.
b) İletişim Bilgileri
Bu veri kategorisi, KVKK’nın 5. maddesinin 2. fıkrasının (c) bendi kapsamında sözleşmenin ifası, (f) bendi kapsamında ise veri sorumlusunun meşru menfaati doğrultusunda açık rıza olmaksızın işlenebilir.
Kullanıcının e-posta adresi, IP bilgisi ve cihazdan sağlanan bağlantı verileri (örneğin mobil operatör veya Wi-Fi) sadece hesap güvenliğinin sağlanması, sistemsel bilgilendirme yapılması ve destek taleplerinin yanıtlanması amacıyla kullanılmaktadır. Bu veriler açık rıza olmadan pazarlama ya da reklam amaçlı olarak işlenmez veya paylaşılmaz.
c) Konum Verileri
Konum verileri, 6698 sayılı Kanun’un 5. maddesinin 1. fıkrası uyarınca, ancak kullanıcının açık rızasına dayanılarak işlenebilir.
GPS koordinatları, geçmiş rota bilgileri ve canlı konum takibi gibi veriler yalnızca kullanıcının açık izni ile ve uygulama içindeki antrenman esnasında aktif biçimde işlenmektedir. Uygulama, arka planda sürekli konum takibi yapmaz. Konum verileri, sadece hizmetin sunulması için teknik olarak gerekli durumlarda yetkilendirilmiş üçüncü taraf servis sağlayıcılarla sınırlı şekilde paylaşılır.
d) Sağlık ve Biyometrik Veriler
Bu veriler, KVKK’nın 6. maddesinin 2. fıkrası gereğince özel nitelikli veri kapsamında olup, ancak kullanıcının açık rızası ile işlenebilir.
Kalp atış hızı, nabız aralıkları, efor seviyesi, yorgunluk durumu gibi sağlık ve biyometrik veriler, sadece kullanıcının açık rızasına istinaden analiz ve kişisel antrenman iyileştirmesi amacıyla işlenmektedir. Bu veriler asla reklam, hedefleme veya ticari profil oluşturma amacıyla kullanılmaz. Rıza, uygulama içinde sunulan onay ekranı üzerinden açık ve özgür iradeyle alınır.
e) Kullanım Verileri
Bu kategoriye ilişkin veriler, KVKK’nın 5. maddesinin 2. fıkrasının (f) bendi kapsamında, veri sorumlusunun meşru menfaati doğrultusunda açık rıza alınmaksızın işlenebilir.
Antrenman süresi, antrenman türü, tekrar sayısı, koç veya ekip ile yapılan geçmiş oturumlar, kullanıcı tarafından oluşturulan planlar, notlar, mesajlar ve geri bildirim içerikleri yalnızca performans takibi, ekip etkileşimi ve hizmetin kalitesinin artırılması amacıyla işlenmektedir. Kullanıcının hesabını silmesi durumunda bu veriler sistemden geri dönülemez şekilde silinir.
f) Görsel ve İşitsel İçerikler
Bu kategoriye ait veriler, KVKK’nın 5. maddesinin 1. fıkrası gereğince ancak kullanıcının açık rızası ile işlenebilir.
Kullanıcının uygulama aracılığıyla yüklediği fotoğraflar, antrenman sırasında çekilen videolar ve takım içi paylaşımlar gibi medya içerikleri, sadece kullanıcının paylaşım tercihleri doğrultusunda ve uygulamanın temel işlevlerini yerine getirmek amacıyla işlenmektedir. Bu veriler hiçbir şekilde otomatik olarak herkese açık hale getirilmez ve kullanıcı izni olmadan uygulama dışına aktarılmaz.
g) Cihaz Bilgileri
Cihaz verileri, KVKK’nın 5. maddesinin 2. fıkrasının (f) bendi kapsamında, veri sorumlusunun meşru menfaati doğrultusunda açık rıza alınmaksızın işlenebilir.
Cihazın marka ve modeli, işletim sistemi sürümü, uygulama versiyonu, batarya ve bağlantı durumu gibi bilgiler ile ivmeölçer ve jiroskop gibi sensörlerden gelen veriler, yalnızca uygulamanın teknik olarak sağlıklı biçimde çalışabilmesi ve antrenman verilerinin doğru analiz edilebilmesi amacıyla işlenmektedir. Bu veriler kullanıcıyı doğrudan tanımlamak amacıyla kullanılmaz. Kişiselleştirme amacıyla oluşturulan profil verileri ise kullanıcı rızasını geri çektiğinde derhal silinir veya anonimleştirilir.
h) Yapay Zekâ Tabanlı Profil Verileri
Bu veri kategorisi, KVKK’nın 5. maddesinin 1. fıkrası gereğince sadece kullanıcının açık rızası ile işlenebilir.
Kullanıcının antrenman alışkanlıkları, performans düzeyi, sıklıkla tercih ettiği antrenman türleri ve belirlediği hedefler doğrultusunda oluşturulan profil verileri yalnızca öneri sistemlerinin çalışması ve kullanıcı deneyiminin artırılması amacıyla işlenmektedir. Bu veriler reklam, hedefleme veya üçüncü kişilerle paylaşım amacıyla kullanılmaz. Kullanıcı, dilediği zaman bu verilerin işlenmesine verdiği açık rızayı geri çekebilir.
4. Kişisel Verilerin Aktarımı
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 8. ve 9. maddeleri uyarınca, toplanan kişisel verileriniz; işleme amaçlarıyla sınırlı olmak üzere ve gerekli teknik-idari güvenlik önlemleri alınarak yurt içi ve yurt dışındaki bazı kişi ve kuruluşlara aktarılabilir.
a) Yurt İçine Aktarılan Taraflar:
Hizmet sağlayıcıları: Yazılım altyapısı, sunucu barındırma (hosting), veri yedekleme, mobil uygulama dağıtımı, ödeme sistemleri (örneğin Stripe, Apple Pay, Google Pay), analiz ve hata izleme hizmetleri (örneğin Firebase, Sentry) sunan iş ortaklarıyla veriler paylaşılabilir. Bu taraflar verileri yalnızca Hamla Teknoloji A.Ş.’nin yazılı ve sözleşmeye bağlı talimatları doğrultusunda, belirli amaçlarla ve sınırlı sürelerle işlemektedir.
Yetkili kamu kurum ve kuruluşları: Mevzuattan doğan yükümlülükler gereği, yasal yetkilendirme çerçevesinde, örneğin vergi denetimleri veya kolluk kuvvetlerinin talepleri kapsamında bilgi paylaşımı yapılabilir.
Koçlar, takım yöneticileri, kulüpler: Uygulama içerisinde kullanıcı tarafından seçilmiş antrenör veya kulüp yöneticileriyle, yalnızca açık rıza verilmişse sınırlı antrenman verileri paylaşılabilir. Bu veriler hiçbir şekilde sağlık bilgilerini kapsamaz.
b) Yurt Dışına Aktarılan Taraflar:
Yurt dışına kişisel veri aktarımı, yalnızca KVKK’nın 9. maddesi kapsamında yer alan güvenlik koşullarının sağlanması durumunda ve aşağıdaki esaslara uygun şekilde gerçekleştirilmektedir:
Yeterli koruma sağlanan ülkeler: Aktarım, Kişisel Verileri Koruma Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen ülkelere yapılır. Yeni düzenleme ile bu yeterlilik yalnızca bir ülke geneline değil, aynı zamanda belirli sektörlere veya uluslararası kuruluşlara da verilebilmektedir. Kurul, bu yeterlilik kararlarını her dört yılda bir gözden geçirecek olup, gerekli durumlarda bu süre dolmadan da değiştirme, askıya alma veya kaldırma yetkisine sahiptir.
Yeterli koruma sağlanmayan ülkelere aktarım: Bu durumda, aşağıdaki uygun güvence yöntemlerinden biri sağlanarak aktarım gerçekleştirilebilir:
● Aktarıma taraf kamu kurumları arasında uluslararası sözleşme niteliği taşımayan bir anlaşmanın bulunması ve Kurul onayının alınması,
● Kurul tarafından önceden onaylanmış bağlayıcı şirket kurallarının uygulanması,
● Kurulca yayımlanan ve bildirimi yapılmış standart sözleşme metinlerinin taraflarca imzalanması,
● Taraflar arasında yapılmış ve Kurul tarafından onaylanmış veri aktarımına ilişkin yazılı taahhütname bulunması.
Bu yöntemlerden biri sağlandığında, Kanunun 5. ve 6. maddelerinde belirtilen işleme şartları mevcutsa kişisel veriler yurt dışına aktarılabilir.
Açık rıza: Kullanıcının açık rızası bulunuyorsa, bu rıza kapsamında belirtilen hizmetlere veri aktarımı yapılabilir. Bu durum, yalnızca istisnai hallerde ve açıkça sınırlı amaçlarla geçerli olup, düzenli ve sürekli veri aktarımı için bir dayanak teşkil etmez.
Arızi haller: Yeterlilik kararının bulunmadığı ve uygun güvenceler sağlanamadığı durumlarda, kişisel veriler yalnızca KVKK’nın 9. maddesinin 6. fıkrasında sınırlı olarak sayılan hallerden biri mevcutsa yurt dışına aktarılabilir. Bu haller şunlardır:
● İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla aktarıma açık rıza vermesi,
● Aktarımın, ilgili kişiyle veri sorumlusu arasında kurulan veya kurulacak bir sözleşmenin ifası için gerekli olması,
● Aktarımın, ilgili kişinin yararına veri sorumlusu ile üçüncü bir taraf arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,
● Aktarımın üstün bir kamu yararı için zorunlu olması,
● Bir hakkın tesisi, kullanılması veya korunması için aktarımın gerekli olması,
● Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için aktarımın zorunlu olması,
● Mevzuata uygun olarak kamuya açık sicillerden veri aktarımının yapılması.
Veri aktarımı yalnızca Hamla Teknoloji A.Ş.’nin açık talimatları doğrultusunda ve belirli işleme amaçları kapsamında yürütülür. Tüm yurtdışı aktarım süreçleri kayıt altına alınmakta ve denetlenmektedir.
Yurt Dışına Veri Aktarımına İlişkin Hizmet Sağlayıcılar ve Senaryolar:
Google Firebase: Uygulama performans verilerinin, cihaz bilgilerinin, çökme raporlarının ve istatistiksel kullanım analizlerinin işlenmesi.
Apple Health / Strava entegrasyonları: Kullanıcının açık rızasıyla bağlantı kurması durumunda, sağlık veya antrenman verilerinin senkronizasyonu. Bu veriler hiçbir zaman otomatik olarak paylaşılmaz; sadece kullanıcı onayıyla ilgili platformlara aktarılır.
Veri İşleme Sözleşmeleri: Firebase, Apple Health, Strava ve benzeri yurtdışı hizmet sağlayıcılarla veri işleme sözleşmeleri yapılmıştır. Bu sözleşmeler kapsamında hizmet sağlayıcılar, yalnızca Hamla Teknoloji A.Ş.’nin yazılı ve kayıt altına alınan talimatları doğrultusunda veri işlemektedir. Bu hizmet sağlayıcılar, veri işleyen sıfatıyla sınırlı ve amaçla bağlı şekilde hareket etmektedir.
Önemli Notlar:
● Hassas sağlık verileri, yalnızca açık rıza ile işlenir ve yurt dışına yalnızca rıza doğrultusunda aktarılır.
● Hiçbir veri kategorisi, reklam veya üçüncü taraf pazarlama faaliyetleri için otomatik olarak paylaşılmaz.
● Veri aktarımı yapılan her durumda, yalnızca amaçla sınırlı ve gerekli olan veri paylaşılır.
● KVKK’nın 9. maddesinde yapılan 2024 değişikliklerine uygun şekilde, tüm veri aktarımı yöntemleri hukuki dayanakları ile belirlenmekte; Kurul kararları, standart sözleşmeler ve bağlayıcı şirket kuralları ile uyumlu süreçler uygulanmaktadır.
5. Kişisel Verilerin Toplanma Yöntemleri ve Hukuki Sebepleri
Kişisel veriler, Hamla Teknoloji A.Ş. tarafından doğrudan kullanıcıdan ya da kullanıcı etkileşimi sırasında otomatik yollarla dijital ortamda toplanmaktadır. Verilerin toplanma yöntemleri ve her bir yönteme karşılık gelen hukuki sebepler aşağıda açıklanmıştır.
a) Toplama Yöntemleri:
• Kullanıcının doğrudan beyanı:
Kayıt esnasında kullanıcı tarafından girilen ad, soyad, e-posta, doğum tarihi, profil fotoğrafı gibi temel bilgiler; hesap oluşturulması, uygulamaya erişim ve kimlik doğrulama amacıyla dijital formlar aracılığıyla doğrudan toplanır.
• Mobil cihaz izinleri ve sensör verileri:
Kullanıcının mobil cihazındaki izinler kapsamında uygulama tarafından erişilen GPS, ivmeölçer, jiroskop, pusula, kalp atış monitörü gibi donanımlardan elde edilen konum ve sağlık verileri uygulama tarafından kullanıcının izni ile toplanır. Bu veriler yalnızca uygulama işlevselliğinin sağlanması ve kişisel analizler için kullanılır. Kullanıcı, bu izinleri uygulama içinden her zaman açma/kapama hakkına sahiptir.
• Üçüncü taraf servis entegrasyonları:
Kullanıcının isteği ve onayı doğrultusunda, Apple Health, Google Fit, Garmin, Strava ve benzeri üçüncü taraf platformlar üzerinden gerçekleştirilen veri senkronizasyonları ile antrenman, sağlık ve performans verileri uygulamaya aktarılabilir. Bu aktarım yalnızca kullanıcının aktif bağlantı kurması hâlinde gerçekleşir ve kullanıcı bu entegrasyonları istediği zaman durdurabilir.
• Otomatik toplama ve uygulama içi kullanım verileri:
Uygulamanın kullanımı sırasında oluşan antrenman süreleri, tercih edilen antrenman türleri, uygulama versiyonu, cihaz bilgisi, hata raporları ve sistem logları gibi veriler uygulama içi davranış analizleri ve sistem güvenliğini sağlamak amacıyla otomatik olarak toplanır.
• Destek ve iletişim kanalları:
Kullanıcının destek talepleri, geri bildirim mesajları veya hata bildirimleri aracılığıyla ilettiği içerikler (örneğin e-posta yoluyla gönderilen açıklamalar veya ekran görüntüleri), ilgili işlem sürecine yönelik olarak toplanır.
b) İşlemenin Hukuki Sebepleri:
Toplanan kişisel veriler aşağıdaki hukuki sebeplere dayanılarak işlenmektedir:
• Açık rıza (KVKK md. 5/1 ve 6/2):
Sağlık verileri, konum verileri, yapay zeka destekli kişiselleştirme verileri gibi özel nitelikli veriler ancak kullanıcının açık rızası ile işlenir. Açık rıza verilmediği sürece bu veriler işlenmez ve sistemde saklanmaz. Kullanıcı, verdiği rızayı dilediği zaman geri alma hakkına sahiptir.
• Sözleşmenin ifası (KVKK md. 5/2-c):
Uygulamanın temel hizmetlerinin sunulabilmesi (örneğin kayıt işlemleri, hesap açılması, antrenman takibi, antrenman geçmişinin görüntülenmesi) için gerekli olan kişisel veriler, kullanıcının uygulamayı kullanmaya başlaması ile birlikte işlenir. Bu veriler, kullanıcı ile kurulan hizmet sözleşmesinin ifası için zorunludur.
• Hukuki yükümlülüğün yerine getirilmesi (KVKK md. 5/2-ç):
Fatura düzenlenmesi, vergi kayıtlarının tutulması, kullanıcı taleplerine karşılık verilmesi, olası denetimlerde mevzuata uygun raporlamaların yapılabilmesi gibi zorunlu yasal işlemler için kişisel veriler işlenebilir ve gerektiğinde yasal mercilerle paylaşılabilir.
• Bir hakkın tesisi, kullanılması veya korunması (KVKK md. 5/2-e):
Kullanıcının haklarını kullanabilmesi (örneğin üyelik iptali, iade talepleri, şikayet süreçleri), Hamla Teknoloji A.Ş.’nin yasal yükümlülüklerini savunabilmesi veya yargı süreçlerinde haklarını koruyabilmesi için gerekli olabilecek kişisel veriler, bu çerçevede işlenebilir.
• Meşru menfaat (KVKK md. 5/2-f):
Uygulamanın geliştirilmesi, kullanıcı deneyiminin iyileştirilmesi, sistem güvenliğinin sağlanması, istatistiksel analizler yapılması ve kötüye kullanımların önlenmesi gibi durumlarda, kullanıcı temel hak ve özgürlüklerine zarar vermemek koşuluyla kişisel veriler işlenebilir. Her durumda kullanıcıya bu işleme hakkında aydınlatma sağlanır ve bu veri işleme açıkça kayıt altına alınır.
c) Veri Saklama Süresi ve Silme/Anonimleştirme:
Kişisel veriler, yukarıda belirtilen amaçlar ve hukuki sebeplerle sınırlı olmak üzere saklanmakta olup, bu amaçların ortadan kalkması veya yasal saklama süresinin dolması halinde, ilgili veriler mevzuata uygun olarak silinmekte, yok edilmekte veya anonim hale getirilmektedir. Saklama süreleri belirlenirken veri türü, işleme amacı ve yasal yükümlülükler dikkate alınmaktadır.
d) AI Tabanlı Kişiselleştirme ve Otomatik Kararlara İtiraz Hakkı:
Uygulamada yapay zekâ tabanlı analizler, kullanıcıların antrenman geçmişi, tercihleri ve performans verilerine göre öneriler sunmak amacıyla kullanılmaktadır. Ancak, bu analizler sonucunda kullanıcının aleyhine doğabilecek herhangi bir karar (örneğin erişim kısıtı, hizmet sınırlandırması, otomatik reddetme gibi sonuçlar) hiçbir zaman tamamen otomatik sistemlerle uygulanmaz.
Kullanıcı, yapay zekâ veya algoritma destekli işlemler sonucunda oluşabilecek kararlara karşı itiraz etme hakkına sahiptir. Bu tür kararlar alınmadan önce, kullanıcıya bilgilendirme yapılır ve alternatif değerlendirme yöntemleri (örneğin manuel inceleme) sağlanır.
6. İlgili Kişinin Hakları (KVKK md. 11)
Hamla Teknoloji A.Ş., yapay zekâ destekli sistemleri yalnızca kullanıcıya kişiselleştirilmiş öneriler sunmak amacıyla kullanmaktadır. Bu sistemler tarafından oluşturulan analiz ve tavsiyeler otomatik kararlar olarak kullanıcıya doğrudan uygulanmaz. Aşağıdaki güvenceler sağlanmaktadır:
a) Otomatik Karar Verme ve Profil Oluşturma Konusunda Güvence
● AI tabanlı profilleme sistemleri yalnızca öneri üretmek amacıyla kullanılır.
● Hiçbir karar, kullanıcıya manuel onayı alınmadan otomatik olarak uygulanmaz.
● Kullanıcılar, sistem tarafından sunulan önerilere bağlı kalmak zorunda değildir.
● Bu sistemlerin önerileri sonucunda aleyhe doğabilecek kararlar otomatik olarak uygulanmaz, öncesinde kullanıcıya bilgi verilir.
● Kullanıcının bu tür kararlara itiraz hakkı mevcuttur ve alternatif değerlendirme yolları (manuel inceleme, insan destekli değerlendirme) sağlanır.
● Yapay zeka destekli sistemler aracılığıyla kullanıcıların antrenman alışkanlıkları ve performans düzeyleri analiz edilerek kişiselleştirilmiş öneriler sunulabilir. Bu analizler sistemsel düzeyde otomatik olarak yürütülse de, bu analizlere bağlı sonuçlar yalnızca bilgilendirme ve tavsiye niteliğindedir.
b) Açık Rızanın Geri Çekilmesi Durumu
Kullanıcı, uygulama içi izin ayarları ya da yazılı taleple açık rızasını geri çekebilir. Rıza geri çekildiğinde:
● Sağlık, konum, profil öneri verileri gibi açık rızaya tabi veriler
● En geç 7 gün içinde silinir veya anonimleştirilir.
● Kullanıcı, dilediği zaman rızasını tekrar verebilir veya rıza dışı hiçbir veri işlenmez.
c) KVKK md. 11 Kapsamında Sahip Olunan Haklar
6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, kullanıcıların veri sorumlusu sıfatıyla Hamla Teknoloji A.Ş.’ye başvurarak sahip olduğu haklar şunlardır:
1. Kişisel verilerinin işlenip işlenmediğini öğrenme
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri öğrenme
5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
6. KVKK madde 7 kapsamında kişisel verilerin silinmesini veya yok edilmesini isteme
7. (5) ve (6) bentler uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
8. Kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi sonucu aleyhine bir sonucun ortaya çıkmasına itiraz etme
9. Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde tazminat talep etme
d) Başvuru Yöntemi
KVKK’nın 13. maddesi uyarınca, kullanıcılar yukarıda belirtilen haklarına ilişkin taleplerini aşağıdaki yollarla iletebilir:
● E-posta: Güvenli elektronik imza ile birlikte
info@hamlateknoloji.com adresine e-posta gönderebilirsiniz.
● Yazılı başvuru:
Elden teslim veya ıslak imzalı dilekçe ile aşağıdaki adrese başvuru yapılabilir:
Hamla Teknoloji A.Ş.
Reşitpaşa Mahallesi, Katar Caddesi,
İTÜ Arı Teknokent 3 Binası, Kapı No: 4,
Daire No: B204, Sarıyer / İstanbul
e) Silme, Yok Etme ve Anonimleştirme Politikası
Kullanıcı verileri; işlenme amacının ortadan kalkması, yasal saklama süresinin sona ermesi veya kullanıcının açık rızasını geri çekmesi durumunda, Hamla Teknoloji A.Ş. tarafından geri döndürülemez biçimde silinir, yok edilir veya anonim hale getirilir.
Silme işlemleri, yalnızca uygulama arayüzünde yer alan kullanıcı verilerini değil; aynı zamanda:
● Veri tabanı yedekleri,
● Log dosyaları,
● Sistem önbellekleri (cache) ve
● Otomatik senkronizasyonla çalışan yedekli sistemler gibi tüm veri yansımalarını da kapsamaktadır.
Bu süreçler, veri minimizasyonu, güvenli silme ve silme sonrası yeniden erişilemezlik ilkeleri doğrultusunda gerçekleştirilir. Uygulama altyapısında kullanılan servis sağlayıcılarla yapılan sözleşmelerde, bu geri döndürülemez silme yükümlülüğü ayrıca tanımlanmıştır.
Silme talepleri ya da açık rıza iptalleri sonrasında, verinin tüm kopyaları 7 gün içinde tamamen silinir ya da anonimleştirilir. Anonimleştirme durumunda, söz konusu veriler artık hiçbir şekilde kimliği belirli ya da belirlenebilir bir kişiye atfedilemez hâle getirilir.
Yapılan başvurular, en geç 30 gün içinde ücretsiz olarak sonuçlandırılır. Ancak işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifeye göre ücret talep edilebilir.
7. Veri Saklama Süresi (KVKK md. 4 ve 7)
Hamla Teknoloji A.Ş. olarak kişisel verilerinizi yalnızca işleme amaçlarının gerektirdiği süre boyunca ve ilgili mevzuatta öngörülen sürelerle sınırlı olarak saklarız. Saklama süresi sona eren veya işleme amacı ortadan kalkan kişisel veriler, KVKK’nın 7. maddesi ve şirket içi silme-yok etme politikalarına uygun şekilde geri döndürülemez biçimde silinir, yok edilir veya anonim hale getirilir.
Veri silme ve anonimleştirme işlemleri sırasında masking (maskeleme), hashing (kriptografik özetleme) ve generalization (genelleştirme) gibi ileri düzey teknikler kullanılır. Bu işlemlerin detayları — hangi verinin ne zaman, hangi yöntemle ve hangi düzeyde silindiği — sistem loglarında denetlenebilir şekilde kayıt altına alınır.
Silme işlemleri sadece uygulama veritabanında değil, aynı zamanda yedekleme sistemleri, log kayıtları, uygulama önbelleği (cache) ve dağıtılmış depolama alanları dahil tüm veri katmanlarında uygulanır.
Saklama Süreleri Tablosu:
Veri Türü Saklama Süresi Silme/Anonimleştirme Şekli
Konum ve antrenman verileri 12 ay boyunca saklanır; ardından sistem tarafından anonimleştirilir veya silinir. Generalization ve/veya sistemsel silme ile kalıcı olarak yok edilir.
Kullanıcı hesap verileri Hesap silinene kadar saklanır. Hesap silindikten sonra 30 gün içinde tamamen silinir. Uygulama içi silme sonrası, sistem ve yedeklerden otomatik silinir.
Sağlık ve biyometrik veriler Açık rıza devam ettiği sürece saklanır. Rıza geri çekilirse 7 gün içinde silinir. Geri döndürülemez şekilde maskeleme ve sistemsel silme.
Ödeme ve mali kayıtlar 213 sayılı Vergi Usul Kanunu gereği 10 yıl saklanır. Süre sonunda mevzuata uygun şekilde imha edilir.
Destek/iletişim mesajları Talep kapatıldıktan sonra en fazla 1 yıl süreyle saklanır. Manuel veya sistemsel olarak silinir, loglardan da temizlenir.
Tüm bu işlemler, KVKK’ya ve şirket içi veri imha prosedürlerine uygun olarak yürütülmekte ve gerektiğinde Kişisel Verileri Koruma Kurumu’nun denetimine sunulabilecek şekilde kayıt altına alınmaktadır.
8. Veri Güvenliği Önlemleri (KVKK md. 12)
Hamla Teknoloji Anonim Şirketi, kişisel verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini korumak amacıyla, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesi kapsamında gerekli teknik ve idari tedbirleri almaktadır. Veri güvenliği süreçleri sürekli olarak güncellenmekte ve gelişen teknolojiye uyumlu hâle getirilmektedir.
Aşağıda, uygulanan başlıca veri güvenliği önlemleri yer almaktadır:
• TLS (Transport Layer Security) ile Güvenli Veri İletimi
Tüm veri iletimleri (örneğin antrenman bilgileri, giriş bilgileri, konum ve sağlık verileri), uçtan uca şifrelenmiş bağlantılar (HTTPS/TLS protokolleri) üzerinden gerçekleştirilir. Bu sayede verilerin üçüncü kişiler tarafından izinsiz erişimi engellenir.
• İki Faktörlü Kimlik Doğrulama (2FA)
Yönetici panellerine ve kritik sistem bileşenlerine erişim, sadece çift aşamalı kimlik doğrulama ile sağlanmaktadır. Bu sayede kullanıcı adı ve parola dışındaki faktörler (örneğin cihaz doğrulama kodu) da kullanılarak izinsiz girişlerin önüne geçilir.
• Yetki Tabanlı Erişim Kontrolleri (RBAC)
Kişisel verilere erişim, yalnızca görev tanımları ve rol bazlı yetkilendirme sistemine (Role-Based Access Control – RBAC) göre yapılır. Personelin yalnızca görev alanıyla sınırlı verilere erişmesine izin verilir. Tüm erişim hareketleri kayıt altına alınır ve düzenli olarak incelenir.
• Düzenli Güvenlik Denetimleri ve Sızma Testleri
Uygulama ve sistem altyapısı, belirli aralıklarla iç denetim ekipleri ve/veya bağımsız uzman firmalar tarafından güvenlik denetimlerine tabi tutulur. Ayrıca düzenli olarak sızma testleri (penetration testing) ve zafiyet analizleri (vulnerability scanning) gerçekleştirilerek olası açıklar tespit edilir ve giderilir. Her test sonucunda güvenlik önlemleri güncellenir.
• Veri Sızıntısı Bildirimi ve Olay Müdahale Süreci
Kişisel verilerin hukuka aykırı olarak üçüncü kişilerce ele geçirilmesi durumunda, bu ihlal derhal değerlendirilir. KVKK’nın 12/5. maddesi uyarınca, bu durum hem ilgili kişilere hem de Kişisel Verileri Koruma Kurulu’na en geç 72 saat içinde bildirilir. Olay müdahale planı kapsamında, ihlalin kapsamı, etkilediği veri türleri ve alınan önlemler kayıt altına alınır.
• Hassas Verilerde Şifreleme ve Anonimleştirme
Sağlık verileri, konum bilgileri ve yapay zekâ analiz verileri gibi hassas kategorideki veriler, sistemde kriptografik yöntemlerle şifrelenmiş biçimde saklanır. Bu veriler, yetkisiz erişimlere karşı koruma altındadır ve sadece belirlenen sistem bileşenleri tarafından okunabilir formata dönüştürülür. Rıza iptali veya veri silme taleplerinde, bu veriler anonimleştirme teknikleriyle kimliksiz hale getirilir.
• Yaş Doğrulama ve Küçük Yaş Kullanıcı Güvencesi
Kullanıcı yaş doğrulaması, kayıt sırasında beyan edilen doğum tarihi üzerinden otomatik olarak yapılır. Uygulamanın çocuk kullanıcılar (örneğin 13 yaş altı) için kullanıma açık olduğu durumlarda, ek güvenlik önlemleri uygulanır. Gerekli hâllerde, ebeveyn e-posta doğrulaması veya ek teyit sistemleriyle desteklenmiş yaş kontrol süreçleri devreye alınır.
Not: Oarca uygulaması, 13 yaş altı kullanıcıların kişisel verilerini kasten toplamamaktadır. Yasal zorunluluk bulunan bölgelerde, ebeveyn izni alınmadan hesap oluşturulamaz.
Bu önlemler, KVKK’nın yanı sıra Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), Apple App Store ve Google Play Developer Data Safety yönergeleri ile uyumlu şekilde yürütülmektedir.
Uygulama içerisinde kullanıcı tarafından erişilebilecek şekilde "Ayarlar > Gizlilik menüsünde, güncel veri işleyen listesi sunulmakta; bu listede veri türü, amaç ve saklama süresi bilgileri yer almaktadır.
9. 18 Yaş Altı Kullanıcıların Verileri
Hamla Teknoloji Anonim Şirketi, çocukların kişisel verilerinin korunmasını öncelikli bir sorumluluk olarak kabul eder. Bu doğrultuda, uygulamada 18 yaş altı kullanıcılar için ayrı güvenlik katmanları ve açık rıza mekanizmalarıuygulanmaktadır.
a) 13 Yaş Altı Kullanıcılar
● 13 yaşından küçük kullanıcıların uygulamayı kullanmasına izin verilmez.
● Bu yaş grubuna ait bir kullanıcı tespit edildiğinde, ilgili hesap derhal askıya alınır ve tüm kişisel verileri geri döndürülemez şekilde silinir veya anonimleştirilir.
● Bu politika, COPPA (Children’s Online Privacy Protection Act) ve benzeri çocuk hakları mevzuatlarıyla da uyumludur.
b) 13 – 17 Yaş Arası Kullanıcılar (Reşit Olmayanlar)
Bu yaş aralığındaki bireyler, Oarca uygulamasını yalnızca ebeveyn veya yasal temsilcinin açık rızası ile kullanabilir.
● Hesap oluşturulmadan önce uygulama içinde dijital onay formu gösterilir.
● Ebeveyn onayı yalnızca dijital form üzerinden değil, aynı zamanda e-posta veya SMS yoluyla gönderilen doğrulama kodu ile tamamlanır.
● Onay süreci sırasında, sistem ebeveyn rızasını aşağıdaki unsurlarla loglar:
o Cihaz kimliği
o IP adresi
o Tarih ve saat damgası (timestamp)
o Doğrulama yöntemi (e-posta/SMS)
● Bu log kayıtları, gerektiğinde denetim kurumlarına ispat niteliğinde sunulmak üzere güvenli biçimde saklanır.
c) Uygulanan Ek Koruma Önlemleri (13–17 yaş arası kullanıcılar için)
Aşağıdaki sınırlamalar, bu yaş grubundaki kullanıcıların güvenliği için varsayılan olarak uygulanır:
● Kullanıcı profili, sistem tarafından varsayılan olarak gizli şekilde oluşturulur.
● Konum ve sağlık verilerinin paylaşımı, açık ebeveyn rızası olmadan sistemsel olarak engellenmiştir.
● Koç eşleşmeleri, takım katılımı, grup içi mesajlaşma, sosyal etkileşim ve benzeri bölümler için ayrı ebeveyn onayı zorunludur.
● Ebeveyn onayı alınmamış kullanıcılar bu özellikleri kullanamaz.
d) Yaş Doğrulama Süreci
● Yaş doğrulaması, kayıt sırasında alınan doğum tarihi beyanı ile başlatılır.
● Riskli yaş aralığı (13–17) tespit edildiğinde sistem, kullanıcıyı ebeveyn onay sürecine yönlendirir.
● Gerekli durumlarda ek belgeler veya ikinci doğrulama adımı talep edilebilir (ör. ebeveyn e-posta adresiyle doğrulama).
e) Ebeveynin Hakları
● Ebeveynler veya yasal temsilciler, çocuklarına ait kişisel verilerin işlenmesine ilişkin detayları öğrenebilir.
● Kayıtlı verilerin düzeltilmesini, silinmesini veya kısıtlanmasını talep edebilirler.
● Bu talepler için aşağıdaki e-posta adresi üzerinden Hamla Teknoloji A.Ş.’ye başvuru yapılabilir:
📧 info@hamlateknoloji.com
Tüm başvurular KVKK kapsamında değerlendirilir ve en geç 30 gün içinde sonuçlandırılır.
10. Ek Güvence ve Uyumluluk Önlemleri
Hamla Teknoloji A.Ş., yalnızca 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) değil, aynı zamanda Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), Amerika Birleşik Devletleri California Consumer Privacy Act (CCPA) ve çocuk kullanıcılar için Children’s Online Privacy Protection Act (COPPA) gibi uluslararası veri koruma düzenlemelerine de uyum hedeflemektedir.
Bu doğrultuda alınan ek teknik ve idari önlemler aşağıda yer almaktadır:
• Minimum Veri İşleme İlkesi
Tüm sistemler ve kullanıcı arayüzleri, “minimum veri” (data minimization) ilkesine göre yapılandırılmıştır. Yalnızca hizmetin sunumu için zorunlu olan kişisel veriler toplanır ve işlenir; ihtiyaç fazlası veri toplanmaz.
• Açık Rıza Süreci ve Denetlenebilirlik
● Kullanıcıdan alınan açık rıza metinleri, sade, anlaşılır ve teknik olmayan bir dille hazırlanmıştır.
● Her bir özel nitelikli veri türü (örneğin sağlık, konum, yapay zekâ önerileri) için ayrı onay kutucukları ve log kayıtları oluşturulur.
● Rıza ekranları ve tercihler, uygulama içinden dilediği zaman erişilebilir ve güncellenebilir durumdadır.
● Kullanıcı, verdiği açık rızayı her zaman geri çekme hakkına sahiptir.
• Uygulama İçi Bilgilendirme
Kullanıcılara, uygulama içi bildirimler veya tercihler bölümü aracılığıyla veri işleme faaliyetleri konusunda periyodik bilgilendirme yapılmaktadır. Bu hatırlatmalar şeffaflığı artırmak amacıyla düzenli şekilde planlanır.
• Otomatik Veri Aktarımının Engellenmesi
Kullanıcı verileri, hiçbir koşulda kendi bilgisi dışında başka sistemlere otomatik olarak aktarılmaz. API entegrasyonları (ör. Apple Health, Strava, Google Fit), ancak manuel kullanıcı onayı sonrasında aktif hâle gelir. Sistem düzeyinde bu işlem için ön onay zorunludur.
• AI Tabanlı Sistemlerin Sınırlanması
Yapay zekâ destekli analiz sistemleri yalnızca öneri sunmak amacıyla kullanılmakta olup, bu öneriler kullanıcıya otomatik karar olarak uygulanmaz. Sistemsel düzeyde bu tür analizlerin dış amaca yönlendirilmesi teknik olarak engellenmiştir.
• Dış Denetim ve Uyumluluk Gözden Geçirmeleri
Tüm veri işleme faaliyetleri, düzenli olarak bağımsız hukuk danışmanları ve teknik denetim ekipleri eşliğinde değerlendirilmekte, platform politikaları ve mevzuatlar doğrultusunda güncellenmektedir. Bu sayede uygulama sürekli olarak yasal gelişmelere uyumlu hâlde kalır.
• Uluslararası Dijital Platform Uyumu
Uygulama, Apple App Store, Google Play ve diğer uluslararası dijital mağazaların veri güvenliği gerekliliklerine tam uyumlu biçimde geliştirilmiştir. Özellikle:
● App Tracking Transparency (ATT) politikası
● COPPA (Children’s Online Privacy Protection Act) kapsamında küçük yaştaki kullanıcıların korunması
● Data Safety Formları ve App Privacy Details gereklilikleri dikkate alınmıştır.
11. Sonuç ve Kullanıcı Onayı
Oarca mobil uygulamasını kullanmaya başlayan her kullanıcı, aşağıda yer alan hususları kabul, beyan ve taahhüt etmiş sayılır:
● Bu Aydınlatma Metni’ni okuduğunu ve içeriğini anladığını,
● Kişisel verilerinin hangi amaçlarla işlendiği konusunda yeterli biçimde bilgilendirildiğini,
● Uygulamanın temel fonksiyonlarının işletilmesi için gerekli olan kişisel verilerin, sözleşmenin ifası ve meşru menfaat hukuki sebeplerine dayanarak işlendiğini,
● Konum, sağlık, çocuk verileri ve uygulama entegrasyonları gibi özel nitelikli veri işleme faaliyetleri için açık rıza verilmesinin gerekli olduğunu.
Hamla Teknoloji A.Ş., bu tür açık rıza gerektiren işlemler için uygulama içinde dijital yollarla, özgür, bilgilendirilmişve ayrık (granüler) şekilde kullanıcı onayı almaktadır.
● Açık rıza, her bir veri kategorisi (örneğin konum verisi, sağlık verisi, entegrasyon bağlantıları) için ayrı ayrı kutucuklar aracılığıyla sunulmaktadır.
● Kullanıcılar, verdikleri açık rızayı istedikleri zaman geri çekme hakkına sahiptir.
● Rıza geri çekildiğinde ilgili veri işleme faaliyetleri derhal durdurulur ve söz konusu veriler, ilgili saklama süreleri sonunda silinir veya anonim hale getirilir.
Bu uygulama politikası, KVKK md. 10, GDPR madde 7 ve App Store/Google Play onay sistemleriyle tam uyumlu olacak şekilde yapılandırılmıştır.
Hamla Teknoloji A.Ş. (Oarca) KVKK Aydınlatma Metni
1. Veri Sorumlusu Bilgileri
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca, veri sorumlusu sıfatıyla kişisel verileriniz aşağıda bilgileri verilen tüzel kişi tarafından işlenmektedir:
Unvan: Hamla Teknoloji Anonim Şirketi
Adres: Reşitpaşa Mahallesi, Katar Caddesi, İTÜ Arı Teknokent 3 Binası, Kapı No: 4, Daire No: B204, Sarıyer / İstanbul
İletişim E-posta Adresi: info@hamlateknoloji.com
Hamla Teknoloji A.Ş., veri sorumlusu sıfatıyla kişisel verilerinizi; hukuka ve dürüstlük kurallarına uygun biçimde, belirli ve meşru amaçlarla, ölçülü ve sınırlı olarak işler, saklar ve gerektiğinde mevzuata uygun şekilde aktarır. Ayrıca Avrupa Ekonomik Alanı (EEA) ve yurtdışı kullanıcılar için veri sorumlusu temsilcisi atanması süreci planlanmakta olup, temsilcilik bilgileri veri sorumlusu sistem kayıtlarında ilan edilecektir.
2. Kişisel Verilerin İşlenme Amaçları
Kişisel verileriniz; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartlarına uygun olarak, aşağıda belirtilen amaçlarla işlenmektedir.
a. Temel Hizmetlerin Sunulması
● Mobil uygulamanın temel işlevlerinin yerine getirilmesi (örneğin antrenman başlatma, konum ve sensör verisi ile analiz yapılması, ekip oluşturma ve görev atama).
● Takım eşleştirme, antrenör paneli yönetimi, kullanıcılar arası bağlantı kurulması gibi uygulama içi koordinasyonun sağlanması.
● Kullanıcı hesabının oluşturulması, giriş yapılması ve hesap yönetimi süreçlerinin yürütülmesi.
b. Deneyim Geliştirme ve Kişiselleştirme
● Kullanıcı tercihleri, geçmişi ve performans verilerine göre uygulama içeriğinin kişiselleştirilmesi.
● Konum verilerine bağlı olarak rota önerileri veya çevresel bildirimlerin sunulması.
● Uygulama kullanımına dair teknik verilerin toplanarak hizmet kalitesinin artırılması.
c. Güvenlik ve Uygulama Performansı
● Kullanıcıların hesap ve sistem güvenliğinin sağlanması (örneğin iki faktörlü kimlik doğrulama, şüpheli giriş tespiti).
● Uygulama içi hataların giderilmesi ve sistem güncellemelerinin gerçekleştirilmesi.
● Siber saldırı, kötüye kullanım veya dolandırıcılık faaliyetlerinin tespit edilmesi ve önlenmesi.
d. Hukuki Yükümlülüklerin Yerine Getirilmesi
● Vergisel yükümlülüklerin ve fatura süreçlerinin yürütülmesi.
● Yetkili kamu kurum ve kuruluşlarının bilgi taleplerinin karşılanması.
● Kanuni yükümlülüklere uygun şekilde kayıtların tutulması ve gerekli bildirimlerin yapılması.
e. Analiz ve Raporlama
● Kullanıcı davranışlarının anonimleştirilmiş şekilde analiz edilmesi.
● Hizmetlerin geliştirilmesi ve kullanıcı deneyiminin iyileştirilmesine yönelik istatistiksel çalışmalar yapılması.
● Performans raporları ve sistem verimliliğine ilişkin değerlendirmelerin hazırlanması.
f. Tanıtım ve Pazarlama (Açık Rıza Gerektirir)
● Kullanıcının önceden açık rızasının bulunması halinde ticari elektronik ileti gönderimi (kampanyalar, bilgilendirme mesajları, duyurular).
● Uygulama kullanımına ilişkin veriler doğrultusunda kişiselleştirilmiş tanıtım, reklam ve önerilerin sunulması.
● Kullanıcının rızasını istediği zaman geri çekebilmesine olanak tanınması.
Veri sorumlusu olarak Hamla Teknoloji A.Ş., kişisel verilerinizi yalnızca belirtilen işleme amaçları kapsamında ve ilgili mevzuata uygun şekilde işlemekte, farklı bir amaçla kullanmamaktadır.
3. İşlenen Kişisel Veri Kategorileri
Her kişisel veri kategorisi, ilgili olduğu hukuki işleme sebebi ile birlikte tablolu biçimde kullanıcıya açık şekilde sunulmaktadır. Örneğin; ödeme bilgileri “sözleşmenin ifası”, sağlık verileri ise “açık rıza” temeline dayalı olarak işlenir.
Anonimleştirme ve silme işlemleri farklı süreçlerdir. Kişisel veriler açık rıza geri çekildiğinde, ya tamamen silinir ya da anonimleştirme teknikleri ile kimliksiz hale getirilir. Bu ayrım, veri türüne göre yapılır ve kayıt altına alınır.
Profil verileri yalnızca kullanıcının deneyimini iyileştirmek amacıyla kullanılır; hiçbir şekilde ticari amaçla 3. taraflara aktarılmaz veya reklam hedefleme için kullanılmaz.
a) Kimlik Bilgileri
Bu veri kategorisi, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. maddesinin 2. fıkrasının (c) bendi uyarınca, bir sözleşmenin kurulması veya ifasının gerektirdiği durumlarda açık rıza olmaksızın işlenebilir.
Kullanıcının adı, soyadı, doğum tarihi, cinsiyeti ve isteğe bağlı olarak yüklediği profil fotoğrafı, yalnızca kullanıcı hesabının oluşturulması ve kişiselleştirilmesi amacıyla işlenmektedir. Bu veriler hiçbir koşulda üçüncü taraflarla paylaşılmamakta ve uygulama dışına aktarılmamaktadır.
b) İletişim Bilgileri
Bu veri kategorisi, KVKK’nın 5. maddesinin 2. fıkrasının (c) bendi kapsamında sözleşmenin ifası, (f) bendi kapsamında ise veri sorumlusunun meşru menfaati doğrultusunda açık rıza olmaksızın işlenebilir.
Kullanıcının e-posta adresi, IP bilgisi ve cihazdan sağlanan bağlantı verileri (örneğin mobil operatör veya Wi-Fi) sadece hesap güvenliğinin sağlanması, sistemsel bilgilendirme yapılması ve destek taleplerinin yanıtlanması amacıyla kullanılmaktadır. Bu veriler açık rıza olmadan pazarlama ya da reklam amaçlı olarak işlenmez veya paylaşılmaz.
c) Konum Verileri
Konum verileri, 6698 sayılı Kanun’un 5. maddesinin 1. fıkrası uyarınca, ancak kullanıcının açık rızasına dayanılarak işlenebilir.
GPS koordinatları, geçmiş rota bilgileri ve canlı konum takibi gibi veriler yalnızca kullanıcının açık izni ile ve uygulama içindeki antrenman esnasında aktif biçimde işlenmektedir. Uygulama, arka planda sürekli konum takibi yapmaz. Konum verileri, sadece hizmetin sunulması için teknik olarak gerekli durumlarda yetkilendirilmiş üçüncü taraf servis sağlayıcılarla sınırlı şekilde paylaşılır.
d) Sağlık ve Biyometrik Veriler
Bu veriler, KVKK’nın 6. maddesinin 2. fıkrası gereğince özel nitelikli veri kapsamında olup, ancak kullanıcının açık rızası ile işlenebilir.
Kalp atış hızı, nabız aralıkları, efor seviyesi, yorgunluk durumu gibi sağlık ve biyometrik veriler, sadece kullanıcının açık rızasına istinaden analiz ve kişisel antrenman iyileştirmesi amacıyla işlenmektedir. Bu veriler asla reklam, hedefleme veya ticari profil oluşturma amacıyla kullanılmaz. Rıza, uygulama içinde sunulan onay ekranı üzerinden açık ve özgür iradeyle alınır.
e) Kullanım Verileri
Bu kategoriye ilişkin veriler, KVKK’nın 5. maddesinin 2. fıkrasının (f) bendi kapsamında, veri sorumlusunun meşru menfaati doğrultusunda açık rıza alınmaksızın işlenebilir.
Antrenman süresi, antrenman türü, tekrar sayısı, koç veya ekip ile yapılan geçmiş oturumlar, kullanıcı tarafından oluşturulan planlar, notlar, mesajlar ve geri bildirim içerikleri yalnızca performans takibi, ekip etkileşimi ve hizmetin kalitesinin artırılması amacıyla işlenmektedir. Kullanıcının hesabını silmesi durumunda bu veriler sistemden geri dönülemez şekilde silinir.
f) Görsel ve İşitsel İçerikler
Bu kategoriye ait veriler, KVKK’nın 5. maddesinin 1. fıkrası gereğince ancak kullanıcının açık rızası ile işlenebilir.
Kullanıcının uygulama aracılığıyla yüklediği fotoğraflar, antrenman sırasında çekilen videolar ve takım içi paylaşımlar gibi medya içerikleri, sadece kullanıcının paylaşım tercihleri doğrultusunda ve uygulamanın temel işlevlerini yerine getirmek amacıyla işlenmektedir. Bu veriler hiçbir şekilde otomatik olarak herkese açık hale getirilmez ve kullanıcı izni olmadan uygulama dışına aktarılmaz.
g) Cihaz Bilgileri
Cihaz verileri, KVKK’nın 5. maddesinin 2. fıkrasının (f) bendi kapsamında, veri sorumlusunun meşru menfaati doğrultusunda açık rıza alınmaksızın işlenebilir.
Cihazın marka ve modeli, işletim sistemi sürümü, uygulama versiyonu, batarya ve bağlantı durumu gibi bilgiler ile ivmeölçer ve jiroskop gibi sensörlerden gelen veriler, yalnızca uygulamanın teknik olarak sağlıklı biçimde çalışabilmesi ve antrenman verilerinin doğru analiz edilebilmesi amacıyla işlenmektedir. Bu veriler kullanıcıyı doğrudan tanımlamak amacıyla kullanılmaz. Kişiselleştirme amacıyla oluşturulan profil verileri ise kullanıcı rızasını geri çektiğinde derhal silinir veya anonimleştirilir.
h) Yapay Zekâ Tabanlı Profil Verileri
Bu veri kategorisi, KVKK’nın 5. maddesinin 1. fıkrası gereğince sadece kullanıcının açık rızası ile işlenebilir.
Kullanıcının antrenman alışkanlıkları, performans düzeyi, sıklıkla tercih ettiği antrenman türleri ve belirlediği hedefler doğrultusunda oluşturulan profil verileri yalnızca öneri sistemlerinin çalışması ve kullanıcı deneyiminin artırılması amacıyla işlenmektedir. Bu veriler reklam, hedefleme veya üçüncü kişilerle paylaşım amacıyla kullanılmaz. Kullanıcı, dilediği zaman bu verilerin işlenmesine verdiği açık rızayı geri çekebilir.
4. Kişisel Verilerin Aktarımı
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 8. ve 9. maddeleri uyarınca, toplanan kişisel verileriniz; işleme amaçlarıyla sınırlı olmak üzere ve gerekli teknik-idari güvenlik önlemleri alınarak yurt içi ve yurt dışındaki bazı kişi ve kuruluşlara aktarılabilir.
a) Yurt İçine Aktarılan Taraflar:
Hizmet sağlayıcıları: Yazılım altyapısı, sunucu barındırma (hosting), veri yedekleme, mobil uygulama dağıtımı, ödeme sistemleri (örneğin Stripe, Apple Pay, Google Pay), analiz ve hata izleme hizmetleri (örneğin Firebase, Sentry) sunan iş ortaklarıyla veriler paylaşılabilir. Bu taraflar verileri yalnızca Hamla Teknoloji A.Ş.’nin yazılı ve sözleşmeye bağlı talimatları doğrultusunda, belirli amaçlarla ve sınırlı sürelerle işlemektedir.
Yetkili kamu kurum ve kuruluşları: Mevzuattan doğan yükümlülükler gereği, yasal yetkilendirme çerçevesinde, örneğin vergi denetimleri veya kolluk kuvvetlerinin talepleri kapsamında bilgi paylaşımı yapılabilir.
Koçlar, takım yöneticileri, kulüpler: Uygulama içerisinde kullanıcı tarafından seçilmiş antrenör veya kulüp yöneticileriyle, yalnızca açık rıza verilmişse sınırlı antrenman verileri paylaşılabilir. Bu veriler hiçbir şekilde sağlık bilgilerini kapsamaz.
b) Yurt Dışına Aktarılan Taraflar:
Yurt dışına kişisel veri aktarımı, yalnızca KVKK’nın 9. maddesi kapsamında yer alan güvenlik koşullarının sağlanması durumunda ve aşağıdaki esaslara uygun şekilde gerçekleştirilmektedir:
Yeterli koruma sağlanan ülkeler: Aktarım, Kişisel Verileri Koruma Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen ülkelere yapılır. Yeni düzenleme ile bu yeterlilik yalnızca bir ülke geneline değil, aynı zamanda belirli sektörlere veya uluslararası kuruluşlara da verilebilmektedir. Kurul, bu yeterlilik kararlarını her dört yılda bir gözden geçirecek olup, gerekli durumlarda bu süre dolmadan da değiştirme, askıya alma veya kaldırma yetkisine sahiptir.
Yeterli koruma sağlanmayan ülkelere aktarım: Bu durumda, aşağıdaki uygun güvence yöntemlerinden biri sağlanarak aktarım gerçekleştirilebilir:
● Aktarıma taraf kamu kurumları arasında uluslararası sözleşme niteliği taşımayan bir anlaşmanın bulunması ve Kurul onayının alınması,
● Kurul tarafından önceden onaylanmış bağlayıcı şirket kurallarının uygulanması,
● Kurulca yayımlanan ve bildirimi yapılmış standart sözleşme metinlerinin taraflarca imzalanması,
● Taraflar arasında yapılmış ve Kurul tarafından onaylanmış veri aktarımına ilişkin yazılı taahhütname bulunması.
Bu yöntemlerden biri sağlandığında, Kanunun 5. ve 6. maddelerinde belirtilen işleme şartları mevcutsa kişisel veriler yurt dışına aktarılabilir.
Açık rıza: Kullanıcının açık rızası bulunuyorsa, bu rıza kapsamında belirtilen hizmetlere veri aktarımı yapılabilir. Bu durum, yalnızca istisnai hallerde ve açıkça sınırlı amaçlarla geçerli olup, düzenli ve sürekli veri aktarımı için bir dayanak teşkil etmez.
Arızi haller: Yeterlilik kararının bulunmadığı ve uygun güvenceler sağlanamadığı durumlarda, kişisel veriler yalnızca KVKK’nın 9. maddesinin 6. fıkrasında sınırlı olarak sayılan hallerden biri mevcutsa yurt dışına aktarılabilir. Bu haller şunlardır:
● İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla aktarıma açık rıza vermesi,
● Aktarımın, ilgili kişiyle veri sorumlusu arasında kurulan veya kurulacak bir sözleşmenin ifası için gerekli olması,
● Aktarımın, ilgili kişinin yararına veri sorumlusu ile üçüncü bir taraf arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,
● Aktarımın üstün bir kamu yararı için zorunlu olması,
● Bir hakkın tesisi, kullanılması veya korunması için aktarımın gerekli olması,
● Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için aktarımın zorunlu olması,
● Mevzuata uygun olarak kamuya açık sicillerden veri aktarımının yapılması.
Veri aktarımı yalnızca Hamla Teknoloji A.Ş.’nin açık talimatları doğrultusunda ve belirli işleme amaçları kapsamında yürütülür. Tüm yurtdışı aktarım süreçleri kayıt altına alınmakta ve denetlenmektedir.
Yurt Dışına Veri Aktarımına İlişkin Hizmet Sağlayıcılar ve Senaryolar:
Google Firebase: Uygulama performans verilerinin, cihaz bilgilerinin, çökme raporlarının ve istatistiksel kullanım analizlerinin işlenmesi.
Apple Health / Strava entegrasyonları: Kullanıcının açık rızasıyla bağlantı kurması durumunda, sağlık veya antrenman verilerinin senkronizasyonu. Bu veriler hiçbir zaman otomatik olarak paylaşılmaz; sadece kullanıcı onayıyla ilgili platformlara aktarılır.
Veri İşleme Sözleşmeleri: Firebase, Apple Health, Strava ve benzeri yurtdışı hizmet sağlayıcılarla veri işleme sözleşmeleri yapılmıştır. Bu sözleşmeler kapsamında hizmet sağlayıcılar, yalnızca Hamla Teknoloji A.Ş.’nin yazılı ve kayıt altına alınan talimatları doğrultusunda veri işlemektedir. Bu hizmet sağlayıcılar, veri işleyen sıfatıyla sınırlı ve amaçla bağlı şekilde hareket etmektedir.
Önemli Notlar:
● Hassas sağlık verileri, yalnızca açık rıza ile işlenir ve yurt dışına yalnızca rıza doğrultusunda aktarılır.
● Hiçbir veri kategorisi, reklam veya üçüncü taraf pazarlama faaliyetleri için otomatik olarak paylaşılmaz.
● Veri aktarımı yapılan her durumda, yalnızca amaçla sınırlı ve gerekli olan veri paylaşılır.
● KVKK’nın 9. maddesinde yapılan 2024 değişikliklerine uygun şekilde, tüm veri aktarımı yöntemleri hukuki dayanakları ile belirlenmekte; Kurul kararları, standart sözleşmeler ve bağlayıcı şirket kuralları ile uyumlu süreçler uygulanmaktadır.
5. Kişisel Verilerin Toplanma Yöntemleri ve Hukuki Sebepleri
Kişisel veriler, Hamla Teknoloji A.Ş. tarafından doğrudan kullanıcıdan ya da kullanıcı etkileşimi sırasında otomatik yollarla dijital ortamda toplanmaktadır. Verilerin toplanma yöntemleri ve her bir yönteme karşılık gelen hukuki sebepler aşağıda açıklanmıştır.
a) Toplama Yöntemleri:
• Kullanıcının doğrudan beyanı:
Kayıt esnasında kullanıcı tarafından girilen ad, soyad, e-posta, doğum tarihi, profil fotoğrafı gibi temel bilgiler; hesap oluşturulması, uygulamaya erişim ve kimlik doğrulama amacıyla dijital formlar aracılığıyla doğrudan toplanır.
• Mobil cihaz izinleri ve sensör verileri:
Kullanıcının mobil cihazındaki izinler kapsamında uygulama tarafından erişilen GPS, ivmeölçer, jiroskop, pusula, kalp atış monitörü gibi donanımlardan elde edilen konum ve sağlık verileri uygulama tarafından kullanıcının izni ile toplanır. Bu veriler yalnızca uygulama işlevselliğinin sağlanması ve kişisel analizler için kullanılır. Kullanıcı, bu izinleri uygulama içinden her zaman açma/kapama hakkına sahiptir.
• Üçüncü taraf servis entegrasyonları:
Kullanıcının isteği ve onayı doğrultusunda, Apple Health, Google Fit, Garmin, Strava ve benzeri üçüncü taraf platformlar üzerinden gerçekleştirilen veri senkronizasyonları ile antrenman, sağlık ve performans verileri uygulamaya aktarılabilir. Bu aktarım yalnızca kullanıcının aktif bağlantı kurması hâlinde gerçekleşir ve kullanıcı bu entegrasyonları istediği zaman durdurabilir.
• Otomatik toplama ve uygulama içi kullanım verileri:
Uygulamanın kullanımı sırasında oluşan antrenman süreleri, tercih edilen antrenman türleri, uygulama versiyonu, cihaz bilgisi, hata raporları ve sistem logları gibi veriler uygulama içi davranış analizleri ve sistem güvenliğini sağlamak amacıyla otomatik olarak toplanır.
• Destek ve iletişim kanalları:
Kullanıcının destek talepleri, geri bildirim mesajları veya hata bildirimleri aracılığıyla ilettiği içerikler (örneğin e-posta yoluyla gönderilen açıklamalar veya ekran görüntüleri), ilgili işlem sürecine yönelik olarak toplanır.
b) İşlemenin Hukuki Sebepleri:
Toplanan kişisel veriler aşağıdaki hukuki sebeplere dayanılarak işlenmektedir:
• Açık rıza (KVKK md. 5/1 ve 6/2):
Sağlık verileri, konum verileri, yapay zeka destekli kişiselleştirme verileri gibi özel nitelikli veriler ancak kullanıcının açık rızası ile işlenir. Açık rıza verilmediği sürece bu veriler işlenmez ve sistemde saklanmaz. Kullanıcı, verdiği rızayı dilediği zaman geri alma hakkına sahiptir.
• Sözleşmenin ifası (KVKK md. 5/2-c):
Uygulamanın temel hizmetlerinin sunulabilmesi (örneğin kayıt işlemleri, hesap açılması, antrenman takibi, antrenman geçmişinin görüntülenmesi) için gerekli olan kişisel veriler, kullanıcının uygulamayı kullanmaya başlaması ile birlikte işlenir. Bu veriler, kullanıcı ile kurulan hizmet sözleşmesinin ifası için zorunludur.
• Hukuki yükümlülüğün yerine getirilmesi (KVKK md. 5/2-ç):
Fatura düzenlenmesi, vergi kayıtlarının tutulması, kullanıcı taleplerine karşılık verilmesi, olası denetimlerde mevzuata uygun raporlamaların yapılabilmesi gibi zorunlu yasal işlemler için kişisel veriler işlenebilir ve gerektiğinde yasal mercilerle paylaşılabilir.
• Bir hakkın tesisi, kullanılması veya korunması (KVKK md. 5/2-e):
Kullanıcının haklarını kullanabilmesi (örneğin üyelik iptali, iade talepleri, şikayet süreçleri), Hamla Teknoloji A.Ş.’nin yasal yükümlülüklerini savunabilmesi veya yargı süreçlerinde haklarını koruyabilmesi için gerekli olabilecek kişisel veriler, bu çerçevede işlenebilir.
• Meşru menfaat (KVKK md. 5/2-f):
Uygulamanın geliştirilmesi, kullanıcı deneyiminin iyileştirilmesi, sistem güvenliğinin sağlanması, istatistiksel analizler yapılması ve kötüye kullanımların önlenmesi gibi durumlarda, kullanıcı temel hak ve özgürlüklerine zarar vermemek koşuluyla kişisel veriler işlenebilir. Her durumda kullanıcıya bu işleme hakkında aydınlatma sağlanır ve bu veri işleme açıkça kayıt altına alınır.
c) Veri Saklama Süresi ve Silme/Anonimleştirme:
Kişisel veriler, yukarıda belirtilen amaçlar ve hukuki sebeplerle sınırlı olmak üzere saklanmakta olup, bu amaçların ortadan kalkması veya yasal saklama süresinin dolması halinde, ilgili veriler mevzuata uygun olarak silinmekte, yok edilmekte veya anonim hale getirilmektedir. Saklama süreleri belirlenirken veri türü, işleme amacı ve yasal yükümlülükler dikkate alınmaktadır.
d) AI Tabanlı Kişiselleştirme ve Otomatik Kararlara İtiraz Hakkı:
Uygulamada yapay zekâ tabanlı analizler, kullanıcıların antrenman geçmişi, tercihleri ve performans verilerine göre öneriler sunmak amacıyla kullanılmaktadır. Ancak, bu analizler sonucunda kullanıcının aleyhine doğabilecek herhangi bir karar (örneğin erişim kısıtı, hizmet sınırlandırması, otomatik reddetme gibi sonuçlar) hiçbir zaman tamamen otomatik sistemlerle uygulanmaz.
Kullanıcı, yapay zekâ veya algoritma destekli işlemler sonucunda oluşabilecek kararlara karşı itiraz etme hakkına sahiptir. Bu tür kararlar alınmadan önce, kullanıcıya bilgilendirme yapılır ve alternatif değerlendirme yöntemleri (örneğin manuel inceleme) sağlanır.
6. İlgili Kişinin Hakları (KVKK md. 11)
Hamla Teknoloji A.Ş., yapay zekâ destekli sistemleri yalnızca kullanıcıya kişiselleştirilmiş öneriler sunmak amacıyla kullanmaktadır. Bu sistemler tarafından oluşturulan analiz ve tavsiyeler otomatik kararlar olarak kullanıcıya doğrudan uygulanmaz. Aşağıdaki güvenceler sağlanmaktadır:
a) Otomatik Karar Verme ve Profil Oluşturma Konusunda Güvence
● AI tabanlı profilleme sistemleri yalnızca öneri üretmek amacıyla kullanılır.
● Hiçbir karar, kullanıcıya manuel onayı alınmadan otomatik olarak uygulanmaz.
● Kullanıcılar, sistem tarafından sunulan önerilere bağlı kalmak zorunda değildir.
● Bu sistemlerin önerileri sonucunda aleyhe doğabilecek kararlar otomatik olarak uygulanmaz, öncesinde kullanıcıya bilgi verilir.
● Kullanıcının bu tür kararlara itiraz hakkı mevcuttur ve alternatif değerlendirme yolları (manuel inceleme, insan destekli değerlendirme) sağlanır.
● Yapay zeka destekli sistemler aracılığıyla kullanıcıların antrenman alışkanlıkları ve performans düzeyleri analiz edilerek kişiselleştirilmiş öneriler sunulabilir. Bu analizler sistemsel düzeyde otomatik olarak yürütülse de, bu analizlere bağlı sonuçlar yalnızca bilgilendirme ve tavsiye niteliğindedir.
b) Açık Rızanın Geri Çekilmesi Durumu
Kullanıcı, uygulama içi izin ayarları ya da yazılı taleple açık rızasını geri çekebilir. Rıza geri çekildiğinde:
● Sağlık, konum, profil öneri verileri gibi açık rızaya tabi veriler
● En geç 7 gün içinde silinir veya anonimleştirilir.
● Kullanıcı, dilediği zaman rızasını tekrar verebilir veya rıza dışı hiçbir veri işlenmez.
c) KVKK md. 11 Kapsamında Sahip Olunan Haklar
6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, kullanıcıların veri sorumlusu sıfatıyla Hamla Teknoloji A.Ş.’ye başvurarak sahip olduğu haklar şunlardır:
1. Kişisel verilerinin işlenip işlenmediğini öğrenme
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri öğrenme
5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
6. KVKK madde 7 kapsamında kişisel verilerin silinmesini veya yok edilmesini isteme
7. (5) ve (6) bentler uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
8. Kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi sonucu aleyhine bir sonucun ortaya çıkmasına itiraz etme
9. Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde tazminat talep etme
d) Başvuru Yöntemi
KVKK’nın 13. maddesi uyarınca, kullanıcılar yukarıda belirtilen haklarına ilişkin taleplerini aşağıdaki yollarla iletebilir:
● E-posta: Güvenli elektronik imza ile birlikte
info@hamlateknoloji.com adresine e-posta gönderebilirsiniz.
● Yazılı başvuru:
Elden teslim veya ıslak imzalı dilekçe ile aşağıdaki adrese başvuru yapılabilir:
Hamla Teknoloji A.Ş.
Reşitpaşa Mahallesi, Katar Caddesi,
İTÜ Arı Teknokent 3 Binası, Kapı No: 4,
Daire No: B204, Sarıyer / İstanbul
e) Silme, Yok Etme ve Anonimleştirme Politikası
Kullanıcı verileri; işlenme amacının ortadan kalkması, yasal saklama süresinin sona ermesi veya kullanıcının açık rızasını geri çekmesi durumunda, Hamla Teknoloji A.Ş. tarafından geri döndürülemez biçimde silinir, yok edilir veya anonim hale getirilir.
Silme işlemleri, yalnızca uygulama arayüzünde yer alan kullanıcı verilerini değil; aynı zamanda:
● Veri tabanı yedekleri,
● Log dosyaları,
● Sistem önbellekleri (cache) ve
● Otomatik senkronizasyonla çalışan yedekli sistemler gibi tüm veri yansımalarını da kapsamaktadır.
Bu süreçler, veri minimizasyonu, güvenli silme ve silme sonrası yeniden erişilemezlik ilkeleri doğrultusunda gerçekleştirilir. Uygulama altyapısında kullanılan servis sağlayıcılarla yapılan sözleşmelerde, bu geri döndürülemez silme yükümlülüğü ayrıca tanımlanmıştır.
Silme talepleri ya da açık rıza iptalleri sonrasında, verinin tüm kopyaları 7 gün içinde tamamen silinir ya da anonimleştirilir. Anonimleştirme durumunda, söz konusu veriler artık hiçbir şekilde kimliği belirli ya da belirlenebilir bir kişiye atfedilemez hâle getirilir.
Yapılan başvurular, en geç 30 gün içinde ücretsiz olarak sonuçlandırılır. Ancak işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifeye göre ücret talep edilebilir.
7. Veri Saklama Süresi (KVKK md. 4 ve 7)
Hamla Teknoloji A.Ş. olarak kişisel verilerinizi yalnızca işleme amaçlarının gerektirdiği süre boyunca ve ilgili mevzuatta öngörülen sürelerle sınırlı olarak saklarız. Saklama süresi sona eren veya işleme amacı ortadan kalkan kişisel veriler, KVKK’nın 7. maddesi ve şirket içi silme-yok etme politikalarına uygun şekilde geri döndürülemez biçimde silinir, yok edilir veya anonim hale getirilir.
Veri silme ve anonimleştirme işlemleri sırasında masking (maskeleme), hashing (kriptografik özetleme) ve generalization (genelleştirme) gibi ileri düzey teknikler kullanılır. Bu işlemlerin detayları — hangi verinin ne zaman, hangi yöntemle ve hangi düzeyde silindiği — sistem loglarında denetlenebilir şekilde kayıt altına alınır.
Silme işlemleri sadece uygulama veritabanında değil, aynı zamanda yedekleme sistemleri, log kayıtları, uygulama önbelleği (cache) ve dağıtılmış depolama alanları dahil tüm veri katmanlarında uygulanır.
Saklama Süreleri Tablosu:
Veri Türü Saklama Süresi Silme/Anonimleştirme Şekli
Konum ve antrenman verileri 12 ay boyunca saklanır; ardından sistem tarafından anonimleştirilir veya silinir. Generalization ve/veya sistemsel silme ile kalıcı olarak yok edilir.
Kullanıcı hesap verileri Hesap silinene kadar saklanır. Hesap silindikten sonra 30 gün içinde tamamen silinir. Uygulama içi silme sonrası, sistem ve yedeklerden otomatik silinir.
Sağlık ve biyometrik veriler Açık rıza devam ettiği sürece saklanır. Rıza geri çekilirse 7 gün içinde silinir. Geri döndürülemez şekilde maskeleme ve sistemsel silme.
Ödeme ve mali kayıtlar 213 sayılı Vergi Usul Kanunu gereği 10 yıl saklanır. Süre sonunda mevzuata uygun şekilde imha edilir.
Destek/iletişim mesajları Talep kapatıldıktan sonra en fazla 1 yıl süreyle saklanır. Manuel veya sistemsel olarak silinir, loglardan da temizlenir.
Tüm bu işlemler, KVKK’ya ve şirket içi veri imha prosedürlerine uygun olarak yürütülmekte ve gerektiğinde Kişisel Verileri Koruma Kurumu’nun denetimine sunulabilecek şekilde kayıt altına alınmaktadır.
8. Veri Güvenliği Önlemleri (KVKK md. 12)
Hamla Teknoloji Anonim Şirketi, kişisel verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini korumak amacıyla, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesi kapsamında gerekli teknik ve idari tedbirleri almaktadır. Veri güvenliği süreçleri sürekli olarak güncellenmekte ve gelişen teknolojiye uyumlu hâle getirilmektedir.
Aşağıda, uygulanan başlıca veri güvenliği önlemleri yer almaktadır:
• TLS (Transport Layer Security) ile Güvenli Veri İletimi
Tüm veri iletimleri (örneğin antrenman bilgileri, giriş bilgileri, konum ve sağlık verileri), uçtan uca şifrelenmiş bağlantılar (HTTPS/TLS protokolleri) üzerinden gerçekleştirilir. Bu sayede verilerin üçüncü kişiler tarafından izinsiz erişimi engellenir.
• İki Faktörlü Kimlik Doğrulama (2FA)
Yönetici panellerine ve kritik sistem bileşenlerine erişim, sadece çift aşamalı kimlik doğrulama ile sağlanmaktadır. Bu sayede kullanıcı adı ve parola dışındaki faktörler (örneğin cihaz doğrulama kodu) da kullanılarak izinsiz girişlerin önüne geçilir.
• Yetki Tabanlı Erişim Kontrolleri (RBAC)
Kişisel verilere erişim, yalnızca görev tanımları ve rol bazlı yetkilendirme sistemine (Role-Based Access Control – RBAC) göre yapılır. Personelin yalnızca görev alanıyla sınırlı verilere erişmesine izin verilir. Tüm erişim hareketleri kayıt altına alınır ve düzenli olarak incelenir.
• Düzenli Güvenlik Denetimleri ve Sızma Testleri
Uygulama ve sistem altyapısı, belirli aralıklarla iç denetim ekipleri ve/veya bağımsız uzman firmalar tarafından güvenlik denetimlerine tabi tutulur. Ayrıca düzenli olarak sızma testleri (penetration testing) ve zafiyet analizleri (vulnerability scanning) gerçekleştirilerek olası açıklar tespit edilir ve giderilir. Her test sonucunda güvenlik önlemleri güncellenir.
• Veri Sızıntısı Bildirimi ve Olay Müdahale Süreci
Kişisel verilerin hukuka aykırı olarak üçüncü kişilerce ele geçirilmesi durumunda, bu ihlal derhal değerlendirilir. KVKK’nın 12/5. maddesi uyarınca, bu durum hem ilgili kişilere hem de Kişisel Verileri Koruma Kurulu’na en geç 72 saat içinde bildirilir. Olay müdahale planı kapsamında, ihlalin kapsamı, etkilediği veri türleri ve alınan önlemler kayıt altına alınır.
• Hassas Verilerde Şifreleme ve Anonimleştirme
Sağlık verileri, konum bilgileri ve yapay zekâ analiz verileri gibi hassas kategorideki veriler, sistemde kriptografik yöntemlerle şifrelenmiş biçimde saklanır. Bu veriler, yetkisiz erişimlere karşı koruma altındadır ve sadece belirlenen sistem bileşenleri tarafından okunabilir formata dönüştürülür. Rıza iptali veya veri silme taleplerinde, bu veriler anonimleştirme teknikleriyle kimliksiz hale getirilir.
• Yaş Doğrulama ve Küçük Yaş Kullanıcı Güvencesi
Kullanıcı yaş doğrulaması, kayıt sırasında beyan edilen doğum tarihi üzerinden otomatik olarak yapılır. Uygulamanın çocuk kullanıcılar (örneğin 13 yaş altı) için kullanıma açık olduğu durumlarda, ek güvenlik önlemleri uygulanır. Gerekli hâllerde, ebeveyn e-posta doğrulaması veya ek teyit sistemleriyle desteklenmiş yaş kontrol süreçleri devreye alınır.
Not: Oarca uygulaması, 13 yaş altı kullanıcıların kişisel verilerini kasten toplamamaktadır. Yasal zorunluluk bulunan bölgelerde, ebeveyn izni alınmadan hesap oluşturulamaz.
Bu önlemler, KVKK’nın yanı sıra Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), Apple App Store ve Google Play Developer Data Safety yönergeleri ile uyumlu şekilde yürütülmektedir.
Uygulama içerisinde kullanıcı tarafından erişilebilecek şekilde "Ayarlar > Gizlilik menüsünde, güncel veri işleyen listesi sunulmakta; bu listede veri türü, amaç ve saklama süresi bilgileri yer almaktadır.
9. 18 Yaş Altı Kullanıcıların Verileri
Hamla Teknoloji Anonim Şirketi, çocukların kişisel verilerinin korunmasını öncelikli bir sorumluluk olarak kabul eder. Bu doğrultuda, uygulamada 18 yaş altı kullanıcılar için ayrı güvenlik katmanları ve açık rıza mekanizmalarıuygulanmaktadır.
a) 13 Yaş Altı Kullanıcılar
● 13 yaşından küçük kullanıcıların uygulamayı kullanmasına izin verilmez.
● Bu yaş grubuna ait bir kullanıcı tespit edildiğinde, ilgili hesap derhal askıya alınır ve tüm kişisel verileri geri döndürülemez şekilde silinir veya anonimleştirilir.
● Bu politika, COPPA (Children’s Online Privacy Protection Act) ve benzeri çocuk hakları mevzuatlarıyla da uyumludur.
b) 13 – 17 Yaş Arası Kullanıcılar (Reşit Olmayanlar)
Bu yaş aralığındaki bireyler, Oarca uygulamasını yalnızca ebeveyn veya yasal temsilcinin açık rızası ile kullanabilir.
● Hesap oluşturulmadan önce uygulama içinde dijital onay formu gösterilir.
● Ebeveyn onayı yalnızca dijital form üzerinden değil, aynı zamanda e-posta veya SMS yoluyla gönderilen doğrulama kodu ile tamamlanır.
● Onay süreci sırasında, sistem ebeveyn rızasını aşağıdaki unsurlarla loglar:
o Cihaz kimliği
o IP adresi
o Tarih ve saat damgası (timestamp)
o Doğrulama yöntemi (e-posta/SMS)
● Bu log kayıtları, gerektiğinde denetim kurumlarına ispat niteliğinde sunulmak üzere güvenli biçimde saklanır.
c) Uygulanan Ek Koruma Önlemleri (13–17 yaş arası kullanıcılar için)
Aşağıdaki sınırlamalar, bu yaş grubundaki kullanıcıların güvenliği için varsayılan olarak uygulanır:
● Kullanıcı profili, sistem tarafından varsayılan olarak gizli şekilde oluşturulur.
● Konum ve sağlık verilerinin paylaşımı, açık ebeveyn rızası olmadan sistemsel olarak engellenmiştir.
● Koç eşleşmeleri, takım katılımı, grup içi mesajlaşma, sosyal etkileşim ve benzeri bölümler için ayrı ebeveyn onayı zorunludur.
● Ebeveyn onayı alınmamış kullanıcılar bu özellikleri kullanamaz.
d) Yaş Doğrulama Süreci
● Yaş doğrulaması, kayıt sırasında alınan doğum tarihi beyanı ile başlatılır.
● Riskli yaş aralığı (13–17) tespit edildiğinde sistem, kullanıcıyı ebeveyn onay sürecine yönlendirir.
● Gerekli durumlarda ek belgeler veya ikinci doğrulama adımı talep edilebilir (ör. ebeveyn e-posta adresiyle doğrulama).
e) Ebeveynin Hakları
● Ebeveynler veya yasal temsilciler, çocuklarına ait kişisel verilerin işlenmesine ilişkin detayları öğrenebilir.
● Kayıtlı verilerin düzeltilmesini, silinmesini veya kısıtlanmasını talep edebilirler.
● Bu talepler için aşağıdaki e-posta adresi üzerinden Hamla Teknoloji A.Ş.’ye başvuru yapılabilir:
📧 info@hamlateknoloji.com
Tüm başvurular KVKK kapsamında değerlendirilir ve en geç 30 gün içinde sonuçlandırılır.
10. Ek Güvence ve Uyumluluk Önlemleri
Hamla Teknoloji A.Ş., yalnızca 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) değil, aynı zamanda Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), Amerika Birleşik Devletleri California Consumer Privacy Act (CCPA) ve çocuk kullanıcılar için Children’s Online Privacy Protection Act (COPPA) gibi uluslararası veri koruma düzenlemelerine de uyum hedeflemektedir.
Bu doğrultuda alınan ek teknik ve idari önlemler aşağıda yer almaktadır:
• Minimum Veri İşleme İlkesi
Tüm sistemler ve kullanıcı arayüzleri, “minimum veri” (data minimization) ilkesine göre yapılandırılmıştır. Yalnızca hizmetin sunumu için zorunlu olan kişisel veriler toplanır ve işlenir; ihtiyaç fazlası veri toplanmaz.
• Açık Rıza Süreci ve Denetlenebilirlik
● Kullanıcıdan alınan açık rıza metinleri, sade, anlaşılır ve teknik olmayan bir dille hazırlanmıştır.
● Her bir özel nitelikli veri türü (örneğin sağlık, konum, yapay zekâ önerileri) için ayrı onay kutucukları ve log kayıtları oluşturulur.
● Rıza ekranları ve tercihler, uygulama içinden dilediği zaman erişilebilir ve güncellenebilir durumdadır.
● Kullanıcı, verdiği açık rızayı her zaman geri çekme hakkına sahiptir.
• Uygulama İçi Bilgilendirme
Kullanıcılara, uygulama içi bildirimler veya tercihler bölümü aracılığıyla veri işleme faaliyetleri konusunda periyodik bilgilendirme yapılmaktadır. Bu hatırlatmalar şeffaflığı artırmak amacıyla düzenli şekilde planlanır.
• Otomatik Veri Aktarımının Engellenmesi
Kullanıcı verileri, hiçbir koşulda kendi bilgisi dışında başka sistemlere otomatik olarak aktarılmaz. API entegrasyonları (ör. Apple Health, Strava, Google Fit), ancak manuel kullanıcı onayı sonrasında aktif hâle gelir. Sistem düzeyinde bu işlem için ön onay zorunludur.
• AI Tabanlı Sistemlerin Sınırlanması
Yapay zekâ destekli analiz sistemleri yalnızca öneri sunmak amacıyla kullanılmakta olup, bu öneriler kullanıcıya otomatik karar olarak uygulanmaz. Sistemsel düzeyde bu tür analizlerin dış amaca yönlendirilmesi teknik olarak engellenmiştir.
• Dış Denetim ve Uyumluluk Gözden Geçirmeleri
Tüm veri işleme faaliyetleri, düzenli olarak bağımsız hukuk danışmanları ve teknik denetim ekipleri eşliğinde değerlendirilmekte, platform politikaları ve mevzuatlar doğrultusunda güncellenmektedir. Bu sayede uygulama sürekli olarak yasal gelişmelere uyumlu hâlde kalır.
• Uluslararası Dijital Platform Uyumu
Uygulama, Apple App Store, Google Play ve diğer uluslararası dijital mağazaların veri güvenliği gerekliliklerine tam uyumlu biçimde geliştirilmiştir. Özellikle:
● App Tracking Transparency (ATT) politikası
● COPPA (Children’s Online Privacy Protection Act) kapsamında küçük yaştaki kullanıcıların korunması
● Data Safety Formları ve App Privacy Details gereklilikleri dikkate alınmıştır.
11. Sonuç ve Kullanıcı Onayı
Oarca mobil uygulamasını kullanmaya başlayan her kullanıcı, aşağıda yer alan hususları kabul, beyan ve taahhüt etmiş sayılır:
● Bu Aydınlatma Metni’ni okuduğunu ve içeriğini anladığını,
● Kişisel verilerinin hangi amaçlarla işlendiği konusunda yeterli biçimde bilgilendirildiğini,
● Uygulamanın temel fonksiyonlarının işletilmesi için gerekli olan kişisel verilerin, sözleşmenin ifası ve meşru menfaat hukuki sebeplerine dayanarak işlendiğini,
● Konum, sağlık, çocuk verileri ve uygulama entegrasyonları gibi özel nitelikli veri işleme faaliyetleri için açık rıza verilmesinin gerekli olduğunu.
Hamla Teknoloji A.Ş., bu tür açık rıza gerektiren işlemler için uygulama içinde dijital yollarla, özgür, bilgilendirilmişve ayrık (granüler) şekilde kullanıcı onayı almaktadır.
● Açık rıza, her bir veri kategorisi (örneğin konum verisi, sağlık verisi, entegrasyon bağlantıları) için ayrı ayrı kutucuklar aracılığıyla sunulmaktadır.
● Kullanıcılar, verdikleri açık rızayı istedikleri zaman geri çekme hakkına sahiptir.
● Rıza geri çekildiğinde ilgili veri işleme faaliyetleri derhal durdurulur ve söz konusu veriler, ilgili saklama süreleri sonunda silinir veya anonim hale getirilir.
Bu uygulama politikası, KVKK md. 10, GDPR madde 7 ve App Store/Google Play onay sistemleriyle tam uyumlu olacak şekilde yapılandırılmıştır.
Row Efficient and Safe.
Reşitpaşa Mah. Katar Cad. İTÜ Arı Teknokent 3 Binası No: 4 İç Kapı No: B204
Sarıyer / İstanbul / Türkiye
info@hamlateknolojli.com
Row Efficient and Safe.
Reşitpaşa Mah. Katar Cad. İTÜ Arı Teknokent 3
Binası No: 4 İç Kapı No: B204
Sarıyer / İstanbul / Türkiye
info@hamlateknolojli.com
Row Efficient and Safe.
Reşitpaşa Mah. Katar Cad. İTÜ Arı Teknokent 3 Binası No: 4 İç Kapı No: B204
Sarıyer / İstanbul / Türkiye
info@hamlateknolojli.com